本文带您熟悉创建存储库的操作步骤,帮助您快速创建存储库。 操作场景 在创建备份之前，您需要先创建一个存储库来存放备份数据，并可根据需要，访问存储库，管理和检索备份数据。 约束与限制 单个资源池节点可创建的存储库数量为10个。 单个存储库的容量为100GB 1024000GB。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，点击“创建存储库”按钮。 6. 可在页面左上角切换地域，不同地域的资源之间内网不互通，请选择靠近您客户的区域，也可以降低网络时延，提高访问速度。 7. 选择是否配置云主机或暂不配置。 1. “暂不配置”表示暂时不配置云主机，可在存储库创建后再绑定。 2. “立即配置”表示立即配置云主机，需从云主机列表中选择要备份的云主机并添加至右侧的已选云主机列表中。 8. 若选择立即绑定云主机，还需至少选择一种备份方式： 1. 自动备份：将选择的云主机绑定到备份策略中，按照备份策略进行自动备份。备份策略创建详情请参考创建备份策略。 2. 立即备份：选择的云主机将立即进行手动一次性备份。 9. 在存储库页面选择付费方式。 包年/包月（预付费模式）：按照订单的购买周期进行计费，适用于能够预估资源使用周期的场景。您可以提前支付一定周期的费用，来获取额外的优惠价格。这种模式适合有长期稳定需求的用户。 按需计费（后付费模式）：根据资源实际使用时长计费，灵活性更高。您只需按照资源实际使用时长付费，费用会从您的账户余额中直接扣除。按需计费更适合资源使用时长可能有较大波动或临时性需求的用户。 10. 输入存储库名称并选择存储库容量。 存储库名称：只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 存储库容量：取值范围为100GB 1024000GB，您需要提前规划存储库容量，存储库的容量不能小于备份云主机的大小。 11. 选择是否编辑标签。标签用于标识资源，可通过标签管理功能对存储库进行分类和筛选。勾选后需要输入或选择现有标签键和标签值，后续您可通过标签功能统一管理资源，具体操作可参考标签功能概述。 12. 选择企业项目。 13. 若选择包年/包月计费方式，您还需要选择创建时长和是否自动续订。 创建时长：存储库的创建时长（范围为1个月到3年）。 自动续订：若启用自动续订，则按月购买自动续订周期为1个月；按年购买自动续订周期为1年。 14. 配置完成后，点击“下一步”，进入存储库配置确认页面。 15. 如确认无误，勾选“我已阅读并同意相关协议 《 天翼云云主机备份服务协议 》”，点击“确认下单”，完成存储库创建。 16. 创建完成后，您可查看“存储库”列表，等待存储库状态变为“可用”，即完成存储库的创建。

本文主要解决修改/etc/security/limits.conf文件后重启系统,配置项不生效的问题。 可能原因 在Linux操作系统云主机中，/etc/security/limits.conf配置文件主要用于设置系统中用户或用户组的资源限制。可在配置文件中指定用户、用户组以及资源限制的具体值。该文件中的配置会影响到整个系统范围内的用户或进程。但这些配置会受到/etc/security/limits.d/ 目录中的配置的影响，因为/etc/security/limits.d/目录中的配置优先级高于/etc/security/limits.conf。 如果遇到修改/etc/security/limits.conf文件，重启后配置项不生效问题，可能原因是/etc/security/limits.d/目录中的配置项覆盖了/etc/security/limits.conf文件中的值。 解决步骤 1. 进入/etc/security/limits.d/目录内，查看是否有配置文件内容与/etc/security/limits.conf文件中修改的配置项冲突。如果有则尝试修改这些文件中的配置，或者删除冲突的文件。 2. 如果想要在/etc/security/limits.d/目录中创建新的配置文件来配置资源限制，确保没有在多个配置文件中重复定义相同的配置项。同时可用数字前缀来指定配置文件的加载顺序，确保正确的加载顺序。 3. 在确认配置项已经全部正确设置后，需重新启动系统以确保新的配置生效。 4. 如果问题仍然存在，检查位于/var/log目录下的系统日志，获取关于配置项加载冲突等更多的信息。

本节介绍网络的用户指南：Service概述 Pod地址可变性 Pod销毁重建后，其IP地址也会变化，例如deployment工作负载升级时，新建的pod地址会改变。Kubernetes的Service可提供一个固定的IP地址（来自订购集群时配置的服务网段）和Service域名，结合标签选择器，对一组pod做负载均衡。客户端可通过该地址或域名访问IP地址可变的pod。如下图所示，nginx部署的前端服务，通过service地址访问后端服务. Service类型 Service支持如下类型： 1. ClusterIP：Service默认类型，用于集群内应用间访问，客户端可通过ClusterIP或内部Service域名访问后端Pod； 2. NodePort：用于集群外部访问集群内服务，将Service通过集群节点固定端口暴露，集群外部可通过任一集群节点IP和该固定端口来访问Serivce； 3. LoadBalancer：用于集群外部访问集群内服务，通过LoadBalancer实例访问NodePort或直通Pod，相对于NodePort方式，有更高的可用性和性能； 4. Headless：该类Service没有IP地址，可用于DNS负载均衡场景，客户端访问Service域名时会通过DNS返回该Service所有后端Pod的IP地址； 5. ExternalName：将集群外部域名映射到集群内部Service上，使得集群内可通过Service名访问外部域名。 Service创建 登录云容器引擎控制台，进入指定集群，选择服务（Service）>创建，按需配置信息即可。

本文介绍告警管理功能的使用方式。 操作步骤 1. 登录ECX控制台。 2. 点击左侧栏【服务管理>告警管理】并进入。 3. 告警管理版块可以查看和管理告警配置、告警模板、告警消息。 说明 告警管理版块支持对以下类型的资源实例或场景进行监控告警：边缘虚拟机【类型请选择“边缘虚机”】、边缘虚拟机带宽、边缘裸金属带宽、NAT网关、边缘云专线实例，及边缘虚拟机带宽汇总、边缘裸金属带宽汇总。 新增告警策略 1. 登录ECX控制台， 点击【服务管理>告警管理>告警配置】，可以查看配置的告警策略。 2. 点击【+新增告警规则】，创建一个告警策略。 3. 输入策略名称、选择监控类型、输入备注信息。 4. 选择对指定资源进行告警，还是对所有资源进行告警。如果对指定资源进行告警，还需要选择具体告警对象。 5. 支持通过模板快速配置，可以在【服务管理>告警管理>告警模板】中创建和管理告警策略模板。 6. 选择告警恢复时是否需要通知。 7. 选择告警级别，支持紧急告警、警告告警、注意告警三个级别。 8. 配置告警指标，选择具体的指标、条件、阈值，当监控对象满足条件时，将会触发此告警策略、产生告警消息。 9. 设置告警通知策略：选择告警接收组，当产生告警消息时，将会通知接收组中配置的联系人。通知方式支持邮件、短信，是否支持重复通知、接收通知的周期和时间段。接收组在【服务管理>消息管理>消息接收组】中配置。

本节介绍了用户指南：使用LocalPV静态存储卷。 使用LocalPV静态存储卷，即：使用kubernetes原生本地存储能力，将本地存储设备，例如磁盘、分区或者目录挂载至Pod中。通过手动在控制台创建PV，创建PVC时使用已有PV的方式，实现容器内挂载本地存储。 该模式下需要用户自建PV资源，一定程度上增加操作和管理复杂性，一般推荐使用动态创建存储的方式。 使用限制 本地存储卷取决于底层节点的可用性，如果节点变得不健康，那么存储卷也将变得不可被 Pod 访问，影响Pod运行。 请勿对本地存储卷或者上层目录自行执行删除操作，否则带来数据丢失风险。 使用LocalPV静态存储卷支持节点调度，但不支持自动创建目录，使用前需保证指定节点配置目录已存在。 通过控制台使用LocalPV静态存储卷 1、创建持久卷（PV） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“持久卷”，单击左上角“创建持久卷”； 配置项 说明 名称 PV的名称。 持久卷类型 前支持云盘、弹性文件、对象存储、并行文件、海量文件和本地存储，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 容量 根据业务需求自定义容量。 访问模式 ReadWriteOnce：卷可以被一个节点以读写方式挂载。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 参数 类型：包括NFS、Local，这里选择Local；方式：包括指定节点、指定节点标签，可以根据业务需求选择； LocalPV的目录：要求指定节点或者指定标签节点中目录存在，否则会出现挂载失败。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 以将 local 卷作为原始块设备暴露出来。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 说明 静态导入场景下，回收策略均默认Retain，cstorcsi不会删除数据。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷列表查看，此时PV状态为“可用”。

本章介绍如何进行目的端的配置。 操作场景 迁移前，您需要设置目的端服务器。该目的端用来接收源端的数据，同时您也可以使用该目的端进行迁移测试和启动目的端。 前提条件 只有“迁移阶段”为“已就绪”时才可设置目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面找到待迁移的服务器，在“目的端”列，单击“设置目的端”，进入迁移配置页面。或单击“操作”列的“更多 > 设置目的端”，进入迁移配置页面。如果在迁移服务器列表中没有看到源端服务器记录，请检查是否登录的是目的端天翼云帐号。 4. 在“迁移配置”页面的基本配置页签，根据下表参数说明，设置相关参数。 参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见创建迁移参数模板。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务。仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。 调整磁盘分区 单击右侧出现的“调整磁盘分区”，弹出“磁盘分区调整”窗口，如下图所示，用户根据实际业务场景，完成磁盘分区的设置。 图 Windows磁盘分区调整 图 Linux磁盘分区调整 说明 磁盘分区调整可以修改是否迁移以及调整分区大小。 Linux支持LVM调整，可以选择物理卷和逻辑卷是否迁移以及调整大小。 注意 Windows系统分区和启动分区是否迁移不可选，默认必须进行迁移。 Windows调整分区大小时只能增大当前分区大小。 Linux Btrfs文件系统暂时不支持磁盘分区调整。 Linux系统分区，swap分区是否迁移不可选，默认为“是”，必须进行迁移。 LVM迁移卷组，可通过卷组配置页，左上方的按钮组，选择全部迁移或暂不迁移。 LVM中的逻辑卷如果是否迁移都选择“否”，则卷组不迁移，对应的物理卷是否迁移也会全部自动切换成“否”。 Linux块级迁移，磁盘分区只可以调大。 Linux文件级迁移，磁盘分区可以调大，也可以调小，调小时需保证调小后的分区大小大于已使用空间+1GB。如果调整前分区大小小于已使用空间+1GB，则无法将磁盘分区大小调小。 如果调整分区大小超过当前磁盘大小时，请先单击“磁盘调整”，调大磁盘大小后再进行分区调整。 如果调整分区大小后，小于当前磁盘大小，如有必要，可单击“磁盘调整”，调小磁盘大小。 单击“下一步 磁盘调整”，确认磁盘调整无误后，单击“确定”，完成磁盘分区的调整。 注意 确定后，是否调整磁盘分区无法重新设置为“否”。如果想要恢复原始磁盘分区设置，请在操作栏下，下拉“更多”，单击“删除”，然后在源端重启Agent，之后重新设置目的端配置，是否调整磁盘分区选择“否”。 5. 单击右下角的“下一步：目的端配置”，进入目的端配置页签。 6. 在目的端配置页签，设置相关参数。 参数 子参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目 服务器选择 已有服务器 在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 根据需求，您可以配置虚拟私有云、子网、安全组等参数，详细说明参见创建新服务器。 已有服务器 目的端服务器需要满足如下条件，否则请单击“前往ECS购买”，根据“推荐目的端，操作系统”购买满足如下条件的弹性云主机。当前已支持将源端服务器迁移到“包年/包月”和“按需计费”这两种计费模式的弹性云主机，您可根据需求选择对应计费模式的弹性云主机。 Windows系统的目的端服务器（即弹性云主机）“规格”中的“内存”大小要不小于2GB。 目的端服务器的磁盘个数不小于源端服务器磁盘个数，且目的端服务器每块磁盘的大小要不小于对应的源端服务器“推荐规格”大小。 目的端服务器的操作系统类型需要和源端的OS类型保持一致。否则，迁移完成后服务器OS系统类型与镜像类型不一致，造成名字冲突及其他问题。 确保源端服务器可以访问目的端服务器，即要有可用的EIP，或者配置VPN、专线。 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统，开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 创建新服务器 选择“自动推荐”时，虚拟私有云、子网与安全组默认为自动创建，也可以根据需求手动选择。 高级配置中服务器名称、可用区、规格、系统盘、数据盘、弹性公网IP默认自动推荐和选择，也可以根据需求手动选择。 说明 数据盘支持的磁盘模式包括：VBD类型（默认）、SCSI类型。关于磁盘模式的详细介绍请参见 数据盘支持创建“共享盘”，关于共享磁盘的详细介绍请参见 选择已有模板时，虚拟私有云、子网、安全组、可用区、磁盘类型根据模板确定，也可以手动调整。 注意 虚拟私有云选择自动创建时，SMS会帮助用户创建一个VPC： 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 安全组选择自动创建时，则SMS服务会自动创建一个安全组，并根据SMS的需要开放端口，Windows开放8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 7.目的端参数配置完成后，单击右下角“下一步：确认配置”，进入确认配置页签。 8.（可选）单击“保存为虚拟机配置模板”，弹出“创建虚拟机配置模板”窗口，输入模板名称，单击“确定”，可将配置信息保存为模板。 说明 在目的端配置时，只有服务器选择“创建新服务器”时，才能单击“保存为虚拟机配置模板”。 图 创建虚拟机配置模板窗口 9. 确认信息无误后，单击“保存配置”按钮，弹出“是否保存配置”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。如果您想立即开始迁移，可单击“保存配置并开始迁移”按钮，弹出“是否保存配置并开始迁移”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 说明 当迁移服务器列表的迁移阶段列显示为，迁移实时状态为已就绪，说明目的端已配置完成。

支持的网络类型 数据复制服务支持通过多种方式的网络进行数据迁移，包括：VPC网络、VPN网络、专线网络和公网网络，在正式迁移之前请参考下表了解网络类型的使用场景及准备工作，并参考下表了解具体的网络类型支持情况进行网络设置。 网络类型 网络类型 使用场景 准备工作 VPC网络 适合云上同区域数据库之间的迁移。 源数据库所在的区域要和目标数据库实例所在的区域保持一致。 源数据库可以和目标数据库在同一VPC内，也可以在不同VPC内。 当源数据库和目标数据库处于同一个VPC内的时候，默认网络是连通的，不需要单独设置安全组。 当源数据库和目标数据库不在同一个VPC内的时候，要求源数据库和目标数据库所处的子网处于不同网段，不能重复或交叉， 此时需要通过对等连接实现网络互通。针对这种情况，DRS会在测试连接时自动按照单IP最小范围打通建立路由。 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨区域的数据库之间的迁移。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据迁移。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨区域的数据库之间的迁移。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合将其他云下或其他平台的数据库迁移到目标数据库。 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 开启公网访问源数据库端实例需要根据具体的场景，由用户端开启公网访问。设置安全组规则源数据库需要将DRS迁移实例的弹性IP添加到其网络入口白名单内， 使源数据库与DRS迁移实例可以连通。由于目标数据库和DRS迁移实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。在选择公网网络进行迁移时， 如果没有开启SSL安全连接加密迁移链路的功能，请确保待迁移的数据为非机密数据，再进行数据迁移。 支持的网络类型 迁移方向 数据流向 VPC网络 公网网络 VPN、专线网络 入云 MySQL>MySQL 支持 支持 支持 入云 MySQL>GaussDB(for MySQL) 支持 支持 支持 入云 MySQL>DRDS 支持 支持 支持 入云 MongoDB>DDS 支持 支持 支持 入云 MySQL分库分表>DRDS 支持 支持 支持 出云 MySQL>MySQL 支持 支持 支持 出云 DDS>MongoDB 支持 支持 支持

下述例程，实现了创建会话，到下发指令至云电脑，并得到返回结果。 完整示例 plaintext import Client from '@ctyun/desktopagentsdk'; async function main() { // 创建 Client 实例 const client new Client({ apiKey: 'yourapikey', apiSecret: 'yourapisecret', desktopCode: 'yourdesktopcode' }); let sessionnull; try { // 创建会话 session await client.createSession(); console.log('会话创建成功:', session.sessionId); // 移动鼠标并点击 await session.computer.movemouse(500, 300); await session.computer.clickmouse(500, 300); // 输入文本 await session.computer.typetext('Hello from Desktop Agent SDK!'); // 截图 await session.computer.screenshot(); } catch (error) { console.error('操作失败:', error); } finally { // 关闭会话 await session.close(); } } main();

本文向您介绍如何通过VPN连接云下数据中心与云上VPC。 操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的云主机或者物理设备之间需要进行通信，VPN的状态才会刷新为正常。 前提条件 已创建VPN所需的虚拟私有云和子网。 操作步骤 1. 在管理控制台上，创建VPN网关、用户网关，选择合适的IKE策略和IPsec策略创建VPN连接。 2. 检查本端和对端子网的IP地址池。 3. 为弹性云主机配置安全组规则，允许通过VPN进出本地数据中心的报文。 4. 检查VPC安全组。 5. 检查远端LAN配置（即对端数据中心网络配置）。 假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 从本地数据中心ping云主机，验证安全组是否允许通过VPN进出本地数据中心的报文。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

本文为您介绍半托管模式迁移任务的创建与管理。 操作场景 通过对象存储迁移服务的控制台，创建半托管模式的迁移任务，并对半托管模式的迁移任务进行管理操作。 前提条件 您已经创建完成代理，并完成代理的部署，存在至少一个代理为“已连接”状态。 您的源端存在待迁移的数据，您已经在天翼云对象存储ZOS开通Bucket。 请确保您的业务处于空闲阶段或非高峰期，避免迁移执行时影响您的业务。 请确保您的源端数据已经解冻，并在迁移完成前保持解冻状态，避免因源端数据未解冻迁移失败。 创建半托管模式迁移任务 1. 进入“对象存储>对象存储迁移服务>迁移任务 ”控制台，选择“迁移任务列表”分页进入迁移任务列表页面，点击“创建迁移任务 ”。 注意 使用对象存储迁移服务会获取您的AK/SK等认证信息，为确保您一定知情，创建任务时会有使用提示弹窗，需要您阅读并手动勾选服务协议，进行确认。您有权不勾选服务协议，并不使用该服务，请您知悉。 2. 在创建迁移任务的页面，迁移任务模式选择“半托管迁移”，并选择执行任务的代理。填写其他任务相关参数后，点击“下一步：确认任务 ”即可。参数说明如下表： 参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明： 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 迁移模式 迁移任务运行模式 选择创建迁移任务的模式，支持全托管模式和半托管模式。 说明： 全托管模式：迁移任务将在服务端执行，适合数据量在10TB以内，或对迁移耗时没有紧急诉求的客户。 半托管模式：迁移任务将运行在客户自己的设备上，客户可通过提供更高的网络带宽和更多的迁移设备，实现更高速的迁移，适合数据量在10TB以上，或对迁移耗时有明确诉求的客户。 注意： 半托管迁移模式依赖您已经部署完成代理，代理设备与迁移服务服务端连通，否则无法创建半托管模式的迁移任务。 迁移模式 选择执行本任务的代理设备 选择执行本任务的代理设备，迁移任务将会下发给指定的代理设备用于执行迁移。 说明： 仅能选择“已连接”状态的代理。 选择源端 源端 选择源端数据的服务提供方。 说明： 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 注意： 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定对象、指定前缀。 说明： 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定对象 ：选择“指定对象”时，将会迁移选中的对象。最大支持指定100个对象。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。 选择源端 迁移晚于起始时间的对象 选择该选项时，用户可配置“起始时间 ”，任务将仅迁移最后修改时间晚于该“起始时间 ”的对象。 选择源端 迁移早于终止时间的对象 选择该选项时，用户可配置“终止时间 ”，任务将仅迁移最后修改时间早于该“终止时间 ”的对象。 注意： 若您同时设定“起始时间 ”和“终止时间 ”，限制“终止时间 ”需晚于（不包含等于）“起始时间 ”。 选择目的端 目的端 指定为天翼云对象存储ZOS。 选择目的端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明： 目的端为ZOS，您可在对象存储ZOS的bucket“概览域名信息”中找到终端节点（Endpoint）信息。 选择目的端 Access Key 输入您目的端的Access Key。 选择目的端 Secret Key 输入您目的端的Secret Key。 选择目的端 存储桶 输入您目的端的对象存储桶名称。 选择目的端 目的端指定前缀 是否在目的端指定前缀： 关闭 目的端指定前缀，则会将源端数据按原有目录结构迁移至目的端存储桶。 开启 目的端指定前缀，可为迁移至目的端的对象（或文件夹）增加指定的前缀，可分为“增加前缀”和“增加前缀目录”。 说明： 增加前缀 ：若您输入的前缀不为目录，则为迁移的对象（或文件夹）增加该部分前缀。例如：指定源端桶 bucketA 的文件夹 bucketA/a/folder1 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test，则迁移至目的端后为 bucketB/Testa/folder1 。 增加前缀目录 ：若您输入的前缀为目录，则为迁移的对象（或文件夹）增加该部分前缀目录，实现将对象迁移至指定的目录下的效果。例如：指定源端桶bucketA的对象 bucketA/a/fileA.png 和 bucketA/b/fileB.png 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test/，则迁移至目的端后为 bucketB/Test/a/fileA.png 和 bucketB/Test/b/fileB.png 。 选择目的端 存储类型 选择迁移数据在目的端的存储类型，支持：匹配源端、标准存储、低频存储、归档存储。 说明： 匹配源端 ：会自动匹配源端存储类型，与源端存储类型保持一致。但仅能自动匹配源端的“标准”和“低频”类型，匹配源端的“归档”或“深度归档”类型，请您务必提前对源端归档数据进行手动解冻，并确保迁移任务完成前数据保持解冻状态，否则该部分数据会迁移失败。 标准存储 ：将会存储为标准类型。 低频存储 ：将会存储为低频类型。 归档存储 ：将会存储为归档类型。 不同地域的对象存储ZOS bucket所支持的存储类型不一致，若您此处选择的存储类型，在您的目的端bucket所在地域并不支持，则迁移会失败。您可参考对象存储ZOS产品能力地图，以便确定您的目的端对不同存储类型的支持情况。 选择目的端 ACL配置 选择迁移数据在目的端的ACL配置，支持：匹配源端、私有、公共读。 说明： 匹配源端 ：会自动匹配源端的ACL配置，与源端保持一致。 私有 ：会将目的端ACL配置为私有。 公共读 ：会将目的端ACL配置为公共读。 高级选项 同名文件是否覆盖 选择迁移的同名文件处理策略，支持：同名文件不覆盖、同名文件全覆盖、按最后修改时间判断。 说明： 不覆盖 ：对同名文件，不进行任何判断，一律执行跳过。 全覆盖 ：对于同名文件，不进行任何判断，一律执行覆盖。 按最后修改时间 ：对于同名文件，优先判断二者的Lastmodified（即最后修改时间），仅当源端文件相较目的端修改时间更新时，进行覆盖。若源端与目的端文件最后修改时间一致，则判断两者的文件大小，大小一致则执行跳过，大小不一致则执行覆盖。 注意： 选择“全覆盖 ”将会覆盖您目的端的同名文件，被覆盖的文件无法被恢复，请您配置时慎重评估是否全覆盖，避免不必要的损失。 注意 创建迁移任务的参数涉及您源端存储数据的相关信息，需要您自行在源端获取，部分信息涉及您的隐私，请注意保密。 3. 在确认任务页面，您可以再次检查填写的任务参数，确定无误后，点击“创建任务 ”，这里需要您进行二次确认，确认后即可创建任务。回到迁移任务列表页面，该任务会在列表中展示。 说明 针对半托管模式的迁移任务，创建任务后，迁移服务依赖您的代理对源端进行连通性检查，存在一定的等待时间，若创建任务失败，任务状态会变为“创建失败 请重新创建任务 ”，您可选择该状态后方的问号图标，鼠标悬停查看创建失败的具体错误信息，以帮助您检查配置参数是否有误。 4. 若迁移任务参数校验均通过，则会自动启动任务并变为“启动中 ”状态，启动成功的任务会变为“排队中 ”状态，排队等待您的代理执行任务，无需您再手动执行任务。 注意 若自动启动任务失败，您的任务会变为“已创建”状态，您依旧可以手动开始该任务。

参数 参数说明 计费模式 私网NAT网关支持按需计费、包年/包月。 名称 私网NAT网关名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 可用区 选择私网NAT网关所在的可用区。 VPC 私网NAT网关所属的VPC。 VPC仅在购买NAT网关时可以选择，后续不支持修改。 子网 私网NAT网关所属的子网。 子网仅在购买私网NAT网关时可以选择，后续不支持修改；选定的所属子网会成为私网NAT网关默认的中转网段。 规格 私网NAT网关的规格。私网NAT网关共有小型、中型、大型、超大型四种规格类型，更多详情参见 描述 私网NAT网关信息描述。 创建时长（仅包年/包月模式下需要选择） 私网NAT网关购买时长。 自动续订（仅包年/包月模式下需要选择） 是否启用私网NAT网关自动续订；按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 企业项目 私网NAT网关所属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

本文简述天翼云边缘安全加速平台安全与加速服务支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云边缘安全加速平台安全与加速服务，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 分组加密/块加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 / RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

本文简述全站加速支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云全站加速，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 订购方式 天翼云云间高速（标准版）产品采用包年包月方式订购。 云企业路由器产品采用按量计费的方式。 计费周期：按订单购买周期结算。 变更 可以根据业务需求，对已经订购的带宽包的带宽，进行升降操作。 续订 用户想要延长带宽包使用时间，可以续订带宽包。 退订 用户不再使用带宽包，可以退订带宽包。 带宽包仅在未绑定云间高速（标准版）且未到期的情况下支持退订。 计费方式变更 暂不支持计费方式变更。 到期与欠费 云间高速（标准版）带宽包到期欠费后，控制台会保留该条记录，同时限制该带宽包速率为1Kbps及以下。

此小节介绍资产被勒索过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段： 收集基础信息、寻找攻击入口，进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段： 部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。 事后勒索阶段： 窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。 图被勒索过程

本文为您介绍Linux系统使用多网卡时网卡名称出现漂移的解决方法。 问题描述 若使用 Linux 系统的云主机配备了多块网卡，则在重启主机后可能出现网卡名称与网卡 MAC 地址不对应的问题，即网卡漂移问题。 以网卡 eth1 实际对应的 MAC 地址为de:8a:88:20:88:6a、网卡 eth2 实际对应的 MAC 地址为76:c5:cc:74:26:c1 为例，若出现网卡漂移问题，则在执行 ip a 命令查看网卡信息时，会发现网卡 eth1 对应的 MAC 地址变为了网卡 eth2 应对应的 MAC地址。 问题原因 Linux 系统运行后会将网卡相关信息保存在 /etc/udev/rules.d/70persistentnet.rules 文件中。若此文件不存在或文件内容和 Linux 操作系统实际情况不一致时，则可能导致网卡漂移问题。 解决步骤 注意：此问题的推荐解决方案需重启云主机，请您在评估业务中断影响后谨慎操作。 1. 以问题描述中的场景为例，推荐在/etc/udev/rules.d/70persistentnet.rules 文件中，将网卡名称与网卡 MAC 地址绑定，使网卡名称与网卡 MAC 地址相对应。每一个网卡可添加相应的规则，每个规则的模板如下： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}" ", KERNEL"eth", NAME" " 以绑定网卡 eth1 对应的 MAC 地址为de:8a:88:20:88:6a 为例： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address de:8a:88:20:88:6a ", KERNEL"eth", NAME"eth1" 2. 保存文件后重启云主机。 reboot 3. 再次通过命令 ip a 查看网卡名称与 MAC 是否对应。

本节介绍如何开启弹性IP防护。 注意事项 一个弹性IP防护消耗1个“可防护公网IP数” 配额。 开启弹性IP防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 在“弹性IP”页签，选择IP版本后，找到需要开启防护的弹性IP，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有弹性IP资产未同步，可以在互联网边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 弹性IP列表展示当前账号下所有VPC内的绑定云主机资产的公网IP。列表包括公网IP（实例名称、ID）、私网IP（实例名称、ID）、虚拟私有云（VPC名称、VPC网段）、子网、绑定资产类型、绑定资产（资产名称、ID）、防护状态。 4. 进入开启弹性IP防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：确认基础信息后，单击“开始引流”。 4. 开启防护成功。

本文介绍了如何配置网络层告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择网络层告警 告警条件 网络层告警支持配置： 持续XX分钟，则产生告警 攻击峰值超过XXkpps，则产生告警 攻击峰值超过XXMbps，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

前言——私有知识库作用简介 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍一种基于开源框架的私有知识库搭建方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 教程使用配置说明：C7通用型云主机 plaintext cpu 8核 内存 32G 优势 知识准确性：让模型访问定制的信息，从而提高回答的准确性和可靠性。 可解释性：检索过程可以明确指出回答所依据的信息来源，增强了回答的可解释性。 减少幻觉：降低了语言模型生成无事实依据内容（即“幻觉”）的可能性。 一、DeepSeek自部署 请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云 自定义部署DeepSeek。

本文主要介绍云日志服务中无法检索日志时的处理方法。 问题现象 在日志检索页面查询不到日志。 可能原因 未完成日志采集配置。 采集路径配置错误。 业务当前无产生日志，或部分时间段有日志，部分时间段无日志。 日志时间错误问题，日志上报至未来时间或已超出日志主题存储时长的时间。 日志上报失败。 解决方法 参考日志接入流程进行配置 在采集配置中，如果日志采集路径配置的是目录（如：/var/logs/），则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件。更多关于日志采集路径的说明请参考接入云主机文本日志。 增加检索时间区间，查看其他时段是否能检索到日志。可能为该时间段确实无日志，请检查自身业务在指定时间段是否产生日志。 在日志单元配置页面，查看当前配置的日志保存时间；请确保日志检索时的时间区间在日志保存时间范围内，在范围以外的日志不再保存，故检索不到。 如果日志采集配置为增量模式，则日志采集器只会采集新增内容，如果目标文件没有更新，则不会采集数据，也不会有数据上报，因此查询不到日志。 若以上解决方法均无法解决您的问题，请提交工单进行报障处理。

本节介绍了云容器引擎的最佳实践：x86和ARM镜像的混合部署。 应用现状 云容器引擎允许在同一集群内同时创建两种不同架构的节点：x86架构和ARM架构。然而，由于这两种架构在底层技术上存在显著差异，因此通常来说，无法将为ARM架构设计的镜像（即应用程序）在x86架构的节点上成功运行，反之亦然。因此，在拥有同时支持x86和ARM节点的集群上部署工作负载时，可能会遭遇部署失败的情况。 解决方案 解决在不同架构的节点使用镜像创建工作负载通常有三种方法： 创建工作负载的时候通过亲和性设置，使用ARM架构镜像时让Pod调度到ARM架构的节点上，使用x86架构镜像时让Pod调度到x86架构的节点上。 创建工作负载的时候通过nodeSelector设置，使用ARM架构镜像时让Pod调度到ARM架构的节点上，使用x86架构镜像时让Pod调度到x86架构的节点上。 构建双架构镜像，同时支持ARM和x86架构。当Pod被调度到ARM架构节点时，将自动拉取针对ARM架构的镜像；而当Pod被调度到x86架构节点时，将自动拉取针对x86架构的镜像。尽管使用同一个地址，但背后实际上包含两个镜像。这种设计简化了工作负载描述文件，使其更具可读性和易于维护，无需单独配置节点亲和性和nodeSelector。

本节介绍了如何扩容云数据库GaussDB 的存储空间。 操作场景 云数据库GaussDB 实例使用一段时间后业务攀升，原申请磁盘空间大小不足以支撑储存完整业务量。内核监测到磁盘使用量超过85%会将实例设置为只读，无法再写入数据，实例进入盘满只读状态。您可以通过磁盘扩容功能扩容数据库实例的磁盘。 注意事项 在最大值的允许范围内，扩容磁盘后磁盘使用率不能仍然高于85%。 节点状态需要为正常，否则应先联系运维人员修复节点。 扩容磁盘的大小必须是（40GB分片数量）的整数倍。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择目标实例，单击“操作”列的“磁盘扩容”，进入“磁盘扩容”页面。 您也可以通过单击目标实例名称，进入“基本信息”页面，在“存储/备份空间”模块的“存储空间”处，单击“磁盘扩容”，进入“磁盘扩容”页面。 步骤 3 在“磁盘扩容”页面，选择空间大小，单击“下一步”。 选择空间大小时，需要考虑扩容后的磁盘使用率应该小于85%。只有低于85%时，才可以让实例从只读状态恢复为可读写状态。 步骤 4 规格确认。 如果需要重新选择，单击“上一步”，回到上个页面，修改新增大小。 如果确认无误，单击“提交”，提交扩容。 步骤 5 查看扩容结果。 在实例管理页面，可看到实例状态为“扩容中”，稍后单击实例名称，在“基本信息”页面，查看磁盘大小，检查扩容是否成功。此过程需要3～5分钟。

本节为您介绍云迁移服务CMS迁移计划资源选取相关内容。 1. 云迁移服务CMS 提供资源选取功能，您可以在[ 迁移计划 ] 界面，点击【资源选取】按钮，进入[资源选取] 界面，如图所示。 2. 选择需要添加的资源，点击【下一步】按钮，跳转至 [ 资源确认 ] 界面，如图所示。 3. 对 [ 资源选取 ] 界面已选资源进行确认，点击【资源确认】按钮，完成资源选择，如图所示。 4. 完成资源选择，平台会自动跳转至 [ 迁移计划详情 ] 界面 ，您可以在迁移计划资源清单中进行查看，如图所示。 5. 您可以在 [ 迁移计划详情 ] 界面 中选择计划资源清单列表中对已选资源进行相应资源查看，创建和删除相关操作，如图所示。 备注 资源管理 资源管理提供两种方式入口进入 1. [ 资源管理 ] 界面，选择对应资源进行查看。 2. [ 迁移计划详情 ] 界面，迁移计划资源清单列表，点击【资源管理】按钮。 如图所示。 资源创建 资源创建提供两种方式入口进入 1. [迁移计划详情] 界面，迁移计划资源清单列表中任务资源创建。如图所示。 2. [ 资源创建 ] 界面，创建资源。

用户可以根据实际情况删除无用的存储库以节省成本。删除存储库时，会将存储库中存放的所有备份进行删除，请谨慎操作。 用户可以根据实际情况删除无用的存储库以节省成本。 删除存储库时，会将存储库中存放的所有备份进行删除，请谨慎操作。 删除操作仅针对按需付费模式的存储库，包年包月模式存储库需进行退订操作。 前提条件 至少存在一个存储库。 存储库的状态为“可用”或者“错误”。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在任一个备份页面，找到目标存储库，单击目标存储库所在行的“更多 > 删除”。如下图所示。删除存储库时，会将存储库中存放的所有备份进行删除，请谨慎操作。 图 删除存储库 3. 单击“确定”，系统会将存储库进行删除。

4、失败场景计费说明 目前DRS对客户创建的计费任务，从任务启动开始进行计费，任务结束终止收费，在此期间的失败场景（如全量失败、增量失败等）均不会停止收费。 为避免不必要的计费情况发生，需要客户在创建任务阶段设置“任务异常自动结束时间（天）”，输入值必须在14100之间。设置任务异常自动结束天数后，异常且超时的任务将会自动结束，以免产生不必要的费用。 5、欠费场景说明 DRS目前为按需计费，当客户启动DRS计费任务后，如果没有及时的进行续费或充值，就会导致任务欠费限制使用，待续费或充值后，可继续正常使用。 任务欠费后，将进入宽限期。如宽限期满仍未续费或充值，将进入保留期。在保留期内资源将停止服务。保留期满仍未续费或充值，存储在云服务中的任务将被删除、云服务资源将被释放。 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 6、提醒/通知规则 账户欠费通知：当用户欠费时，系统会向用户发送1次欠费提醒，并在欠费的第2天、第4天、第6天各发送1次欠费提醒。

本文以公共镜像中的Windows Server 2016数据中心版操作系统为例,介绍如何为弹性云主机实例更换首选语言。 前提条件 已经注册并登录天翼云账号，未完成的可参见注册天翼云账号。 已经在天翼云上购买了弹性云主机，且购买过程中镜像选择为Windows 2016 数据中心版操作系统。 背景信息 天翼云云服务器ECS目前仅提供中文版的Windows Server公共镜像。如果您因工作需求而需要使用其他的语言版本，例如英文，那么您可以参考本章节为弹性云主机实例设置新的首选语言。 操作步骤 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考登录Windows弹性云主机，远程登录待设置操作系统首选语言的Windows弹性云主机实例。 5. 打开PowerShell模块。 6. 在操作之前首先需要临时禁用掉WSUS（Windows Server Update Services）更新源，请您运行以下命令： plaintext SetItemProperty Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU' Name UseWUServer Value 0 RestartService Name wuauserv 7. 找到控制面板，单击“语言” >“添加语言”。 8. 在“添加语言”对话框中，选择一种语言，例如English(英语) ，单击下方的“打开”。 9. 进入跳转窗口后，选择具体的英语区域，选择English（United kingdom），点击“添加”。 10. 添加之后，此语言会更新到语言列表。 11. 选中新增的English，单击“上移”更改语言优先级，下图为已经上移之后的状态： 12. 单击所选语言右侧的“选项”按键，进入语言选项页面，单击“下载并安装语言包”，若没有此链接，请再等待三分钟进行更新。 13. 用户此时可以等待下载并安装完成。 14. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 15. 再次连接Windows实例。显示语言更改为英语。 16. 打开Windows PowerShell，运行以下命令重新启用WSUS。 plaintext SetItemProperty Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU' Name UseWUServer Value 1 RestartService Name wuauserv

说明：本章节会介绍如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 Edge 95及以上版本 Web浏览器登录 Chrome 91.0及以上版本 Web浏览器登录 Safari 13及以上版本 Web浏览器登录 Firefox 50.0及以上版本 ssh/telnet协议运维登录 SecureCRT 8.0及以上版本 ssh/telnet协议运维登录 Xshell 6及以上版本 ssh/telnet协议运维登录 putty 堡垒机客户端自带 ssh/telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 Winscp 5及以上版本 Sftp/Ftp协议运维登录 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本文介绍Kubernetes 1.30版本的变更说明 云容器引擎（CCE）严格遵循社区一致性认证，现已支持Kubernetes 1.30集群版本特性。 新增特性及特性增强 Webhook匹配表达式（GA） 在Kubernetes1.30版本中，Webhook匹配表达式特性进阶至GA。此特性允许对准入Webhook支持根据特定的条件进行匹配，更细粒度地控制Webhook的触发条件。 Pod调度就绪态（GA） 在Kubernetes1.30版本中，Pod调度就绪态特性进阶至GA。此特性允许对Pod添加自定义的schedulingGates，并由用户控制何时移除这些gate，当所有gates移除后，Pod才会被认为调度就绪。 验证准入策略（GA） 在Kubernetes1.30版本中，验证准入策略（ValidatingAdmissionPolicy）特性进阶至GA。该特性支持通过CEL表达式声明资源的验证准入策略。 基于ContainerResource指标的Pod水平自动扩缩容（GA） 在Kubernetes1.30版本中，基于ContainerResource指标的Pod水平自动扩缩容特性进阶至GA。该特性允许HPA根据Pod中各个容器的资源使用情况来配置自动伸缩，而不仅是Pod的整体资源使用情况，便于为Pod中最重要的容器配置扩缩容阈值。 传统ServiceAccount令牌清理器（GA） 在Kubernetes1.30版本中，传统ServiceAccount令牌清理器特性进阶至GA。其作为kubecontrollermanager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过legacyserviceaccounttokencleanupperiod指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacytokeninvalidsince标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过legacyserviceaccounttokencleanupperiod指定）内未被使用，清理器将会删除它。 Pod拓扑分布中的最小域（GA） 在Kubernetes1.30版本中，Pod拓扑分布中的最小域特性进阶至GA。此特性允许通过Pod的minDomains字段配置符合条件的域的最小数量。负载拓扑约束匹配到的域的数量如果大于minDomains，则该字段没有影响；如果小于minDomains，则会将全局最小值（符合条件的域中匹配 Pod 的最小数量）设为0，该字段必须结合whenUnsatisfiable: DoNotSchedule一起使用，实现在不满足拓扑约束的情况下让Pod不进行调度。

本节为您介绍关闭OSPF动态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，不再使用OSPF动态路由。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建，且已开启OSPF动态路由。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 单击“OSPF >不启用OSPF”，即可关闭OSPF路由。 说明 单击“OSPF >清空配置”，也会使OSPF路由失效。

按需服务 对于前期已开通按需版本的客户，仍可继续使用按需服务。按需服务无产品规格上的区分，根据业务情况创建所需的密钥或证书资源即可。 KMS服务会根据所创建的密钥类型及个数、API调用次数进行统计并计费。 按需版支持密钥类型 密钥类型 算法类型 保护级别 是否支持加解密 是否支持签名验签 对称密钥 AES256 Software HSM √ × 对称密钥 SM4 HSM √ × 非对称密钥 RSA2048 Software HSM √ √ 非对称密钥 SM2 HSM √ √ 按需版资源配额 默认主密钥：同一云产品在同一资源池仅有一个默认主密钥。 用户主密钥对称密钥：暂不限制创建个数。 用户主密钥非对称密钥：限制密钥的版本数量，同一用户在同一资源池最多创建50个版本。