本章节向您介绍VPC对等连接组网迁移流程。 步骤一：创建云服务资源 1. 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 2. 在每个VPC内，各创建1个迁移验证子网，该子网无法通过VPC对等连接互通，但是可以通过ER互通，用来验证迁移过程中VPC和ER之间的网络通信情况。 3. 在每个迁移验证子网内，各创建一个ECS，登录ECS执行ping命令验证VPC和ER之间的网络通信情况。 步骤二：在企业路由器中添加VPC连接及路由 1. 在企业路由器中添加“虚拟私有云（VPC）”连接，即将3个VPC分别接入企业路由器中。迁移时，需要手动在VPC路由表中添加规划的大网段路由，不开启“配置连接侧路由”功能。 2. 检查ER路由表中的路由。本示例中，ER开启了“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 步骤三：验证VPC和ER之间的网络通信情况 1. 在VPC路由表中，添加指向ER的迁移验证路由，用于验证VPC和ER的通信情况。 2. 登录迁移验证ECS，执行ping命令，验证VPC和ER之间的网络通信情况。 3. 验证完成后，删除迁移验证相关的路由、ECS和子网。 步骤四：在VPC路由表中添加路由 1. 在VPC路由表中，添加指向VPC对等连接的临时通信路由，确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 2. 在VPC路由表中，添加指向ER的大网段路由，用作VPC和ER的通信。 步骤五：执行迁移操作 在VPC路由表中，删除原有指向VPC对等连接的路由。 迁移过程中需要实时关注业务流量，如果出现流量中断，请立即添加回已删除的路由。 步骤六：删除原有VPC对等连接 对等连接路由删除完成，且业务正常时，建议您再观察一段时间，确保没有问题后，再删除VPC对等连接，本操作会同步删除VPC路由表中关联的临时通信路由。

本节介绍了：CSI的常见问题。 存储FAQCSI 本文主要介绍天翼云存储插件cstorcsi，其安装及使用过程中常见的问题及分析流程。 安装失败 失败原因查看 在“插件”——“插件市场”——选择“cstorcsi”插件安装，完成相关参数配置后点击“安装”；安装详情可以在“插件”——“插件实例”中看到cstorcsi实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 常见问题 查阅日志报 “no matches for kind “PodSecurityPolicy” in version“policy/v1beta1” 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。该问题解决方案为： 1、将cstorcsi升级至3.2.0，按原参数安装即可； 2、如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 使用cstorcsi创建存储卷错误 通用分析流程 1、在“插件”——“插件实例”查看cstorcsi实例，运行是否异常； 2、进入“工作负载”——“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1、Can not get AK 该报错是由于cstorcsi安装过程中，未进行AK、SK配置。解决方案为：在”账号中心”——”安全设置”——”用户AccessKey”中查看AK、SK。 卸载cstorcsi后，选择重新安装该插件，在安装配置窗口中根据获得的 AK、SK值，分别填入AuthConfig.AK和AuthConfig.SK字段中，点击安装即可完成插件部署。 2、用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2、can not support RWX in filesystem mode for disk 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”——”持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。 如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。 目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3、failed to create disk volume, message: disk size should be in range [10G ,32T] 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为： failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。

本文介绍如何进行快速分析。 日志包含系统性能和业务信息，如“ERROR”关键词的数量反映系统健康度，“BUY”关键词的数量反映业务成交量。通过快速分析功能，可查询指定日志关键词，云服务日志可针对配置的关键词进行统计并生成指标数据，帮助您实时了解系统性能和业务信息。 前提条件 已接入日志，并已创建对应的日志字段索引。 操作步骤 1. 登录云日志服务控制台。 2. 点击目标日志项目与日志单元，进入日志单元查询页面。 3. 在“原始数据”页签下，左侧将会展示所有的日志字段。其中代表text类型字段，代表double类型字段。 4. 点击字段右侧的三角按钮，将会展示该字段不通值的统计分布。 5. 点击字段右侧的按钮，选择“字段分布值统计”，可基于该字段的不通值的分布情况，生成可视化饼图。您可基于该饼图将其添加至自定义仪表盘中。

告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 当出现告警时，可以参考本章节查看具体云资源的告警记录详情。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击“告警 > 告警记录”，进入“告警记录”界面。 在告警记录页面，可查看近7天所有告警规则的状态变化。 说明 在“告警记录”列表右上角可选择日历，查看近30天内的任意时间段内的告警记录。 在“告警记录”列表右上角可选择查看“所有状态”、“告警级别”、“所有资源类型”、“告警名称”的历史告警。 4. 单击待查看的告警规则名称，进入告警规则详情页面，页面下方呈现了该告警规则近30天内的“告警记录”列表。 在告警记录列表中，用户可查看对应时间内资源是否有异常并进行相应处理。 说明 正常状况下，由于告警需要计算触发，告警产生时间可能略晚于最新的数据触发时间几秒。 如果已有监控数据，创建或修改告警规则，导致触发告警，告警产生时间以触发告警的操作时间（创建告警规则或修改告警规则的时间）为准。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

本节主要介绍如何管理VPC。 网络ACL是对一个或多个子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。添加VPC时会自动添加默认IP地址0.0.0.0/0。 如果已经在VPC控制台删除文件系统绑定的VPC，该VPC在文件系统绑定的VPC列表下可见且授权的IP地址/地址段为“激活”状态，但此时该VPC已无法进行使用，建议将该VPC从列表中删除。 更多关于VPC的信息请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，选择“弹性文件服务”。 2. 在文件系统列表中单击目标文件系统名称，进入授权VPC界面。 3. 如果没有可用的VPC，需要先申请VPC。可以为文件系统添加多个VPC，单击“添加VPC”，弹出“添加VPC”对话框。如图所示。 可以在下拉列表中选中多个VPC。 4. 单击“确定”，完成添加。添加成功的VPC会出现在列表中，添加VPC时会自动添加默认IP地址0.0.0.0/0，默认读写权限为“读/写”，默认用户权限为“noallsquash”，默认用户root权限为“norootsquash”。 5. 在VPC列表下可以看到所有添加的VPC的信息，参数说明如表所示。 参数 说明 :: 名称 已添加的VPC的名称，例如：vpc4040。 授权IP数量 已经添加的IP地址或IP地址段的个数。 操作 包含“添加”和“删除”操作。“添加”即添加授权的IP地址，包括对授权的IP地址、读/写权限、用户权限、用户root权限及优先级的设置，“删除”即删除该VPC。 6. 单击VPC名称左边的，可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列，单击“添加”，弹出“添加授权地址”的弹窗，如图所示。可以根据参数说明如表所示完成添加 参数 说明 :: 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224239开头的IP地址或地址段是属于D类地址，用于组播；以240255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址，如：10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段，如192.168.1.0192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 读或写权限 分为读/写权限和只读权限。默认为“读/写”。 用户权限 分为allsquash和noallsquash。默认为“noallsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 用户root权限 分为rootsquash和norootsquash。默认为“norootsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 优先级 优先级只能是0100的整数。0表示优先级最高，100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限，存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。例如：用户在执行挂载操作时的IP地址为10.1.1.32，而在已经授权的IP地址/地址段中10.1.1.32（读写）优先级为100和10.1.1.0/24（只读）优先级为50均符合要求，则用户权限会使用优先级为50的10.1.1.0/24（只读）的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32，在无其他授权优先级的情况下，则将会使用优先级为50的10.1.1.0/24（只读）的只读权限。 说明 属于VPC A中的弹性云主机IP地址可以被成功添加至VPC B的授权IP地址内，但该云主机无法挂载属于VPC B下的文件系统。弹性云主机和文件系统所使用的VPC需为同一个。

针对一站式智算服务平台退订操作,为您进行说明。 服务开通后7天内如未使用则支持退订，退订后即可关闭。 平台开通的实例资源数据退订后保留15天，如15天期间届满仍未续订和续费，云公司有权在前述期间届满时立即释放客户的实例资源，并删除实例数据。 退订地址：我的—费用中心—订单管理—退订管理。 另外，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请退款，款项会原路退回。

计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持实例升级。 支持实例升级。 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于资源需求波动的场景，可以随时开通，随时删除。

本节为您介绍镜像服务常见的计费类问题。 镜像的计费标准是什么？ 除了一些特殊的镜像，例如gpu云主机使用的Windows2019DataCenterGRID13.2镜像外，其他公共镜像、私有镜像、共享镜像、安全产品镜像均为免费，如果是私有镜像，镜像本身不收费，如果是通过镜像文件的方式导入镜像，需要开通对象存储服务，创建对象存储桶，对象存储收费。 其他人分享给我的镜像，我需要付费吗？ 其他账号共享给您的镜像，您不需要再次付费。需要计费的镜像参考计费说明。

计费项 计费说明 数据库实例（计算和存储） 提供包年包月和按需计费两种方式。同一个实例下的实例规格计费方式和存储空间计费方式保持一致。 备份存储空间 同一个实例下的实例规格计费方式与备份存储计费方式保持一致。 公网弹性IP（可选） RDSPostgreSQL实例支持公网访问，实例可绑定弹性IP产品实现公网访问，弹性IP会产生相关费用，具体可参见

当您无需访问云上资源时，可以将SDWAN实例与云间高速（标准版）实例解绑。 操作场景 用户将天翼云SDWAN实例与云间高速（标准版）实例解绑。 天翼云SDWAN实例与云间高速（标准版）实例解绑后，将无法通过天翼云SDWAN访问云上资源。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，进入天翼云SDWAN实例列表页面； 3. 选中目标SDWAN实例，单机其“操作”列的“解绑云间高速（标准版）”； 4. 仔细阅读页面提示信息，单击“确定”，完成解绑。

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云、子网和路由表的创建。 操作步骤 1. 进入“网络控制台”页面，点击“路由表”选项。 2. 找到对应的路由表，点击路由表名称，进入路由表详情页。 3.在路由表详情页，找到“路由规则”页签，找到对应的路由规则，点击"删除"。 4.可以对不需要的路由规则进行删除。 5.点击“确定”按钮，即可完成路由规则的删除。

本节为您介绍云迁移服务CMS数据迁移工具添加源节点操作。 1. 进入“数据迁移工具”，点击左侧导航栏 【数据源管理】进入 [数据源管理] 界面 。 2. 点击 【添加数据源】按钮，进入[添加数据源]界面，选择【源节点】按钮。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式。 4. 填写信息完成后，点击【添加数据源】按钮，完成添加，平台显示“添加成功”。 5. 可以在 [数据源管理] 界面，看到刚刚添加的源节点。

本节介绍了清理网络规则文件的操作场景、前提条件、操作步骤。 操作场景 为了避免使用私有镜像创建的新云主机发生网卡名称漂移，在创建私有镜像时，需要清理云主机或镜像文件所在虚拟机的网络规则文件。 说明 使用外部镜像文件制作私有镜像时，清理网络规则文件操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 云主机已安装操作系统和virtio驱动。 操作步骤 1. 执行以下命令，查看网络规则目录下的文件。 ls l /etc/udev/rules.d 2. 执行以下命令，删除网络规则目录下，文件名同时包含persistent和net的规则文件。 例如： rm /etc/udev/rules.d/30netpersistentnames.rules rm /etc/udev/rules.d/70persistentnet.rules 以上命令中斜体部分会根据用户的实际环境有区别。 说明 对于CentOS 6系列的镜像，为避免网卡名发生漂移，您需要创建一个空的rules配置文件。 示例：touch /etc/udev/rules.d/75persistentnetgenerator.rules //命令中斜体部分会根据用户的实际环境有区别 3. 清理网络规则。 − 若操作系统使用initrd系统映像，请执行以下操作： i. 执行以下命令，查看initrd开头且default结尾的initrd映像文件，是否存在同时包含persistent和net的网络设备规则文件（以下命令中斜体内容请以实际操作系统版本为准）。 lsinitrd /boot/initrd2.6.32.120.7default grep persistentgrep net 否，结束。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件（以下命令中斜体内容请以实际操作系统版本为准）。 cp /boot/initrd2.6.32.120.7default /boot/initrd2.6.32.120.7defaultbak iii. 执行以下命令，重新生成initrd映像文件。 mkinitrd − 若操作系统使用initramfs系统映像（如Ubuntu），请执行以下操作： i. 执行以下命令，查看initrd开头且generic结尾的initramfs映像文件，是否存在同时包含persistent和net的网络设备规则文件。 lsinitramfs /boot/initrd.img3.19.025genericgrep persistentgrep net 否，无需清理网络规则。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件。 cp /boot/initrd.img3.19.025generic /boot/initrd.img3.19.025genericbak iii. 执行以下命令，重新生成initramfs映像文件。 updateinitramfs u

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

部署rook operator Rook是一个开源的云原生存储编排工具，提供平台、框架和对各种存储解决方案的支持，以和云原生环境进行本地集成。 Rook 利用扩展功能将其深度地集成到云原生环境中，并为调度、生命周期管理、资源管理、安全性、监控等提供了无缝的体验。Rook 目前支持 Ceph、NFS、Minio Object Store 和 CockroachDB。 plaintext 部署rook operator cd rook/deploy/charts/rookceph/ helm install createnamespace namespace rookceph rookceph . 创建rook ceph集群 plaintext 创建rook ceph集群 cd rook/deploy/examples kubectl apply f cluster.yaml 镜像列表 registry.k8s.io/sigstorage/csiattacher:v4.8.1 registry.k8s.io/sigstorage/csinodedriverregistrar:v2.13.0 registry.k8s.io/sigstorage/csiprovisioner:v5.2.0 registry.k8s.io/sigstorage/csiresizer:v1.13.2 registry.k8s.io/sigstorage/csisnapshotter:v8.2.1 quay.io/ceph/ceph:v19.2.2 quay.io/cephcsi/cephcsi:v3.14.0 rook/ceph:v1.17.2 kubectl get cephcluster A NAMESPACE NAME DATADIRHOSTPATH MONCOUNT AGE PHASE MESSAGE HEALTH EXTERNAL FSID rookceph rookceph /var/lib/rook 3 136m Ready Cluster created successfully HEALTHWARN 40a66dd669ed4401b97fef1edaae17b2 部署rook ceph工具 plaintext cd rook/deploy/examples kubectl apply f toolbox.yaml 通过cephtool工具查看ceph集群状态，正常需要3个OSD（准备三个节点，每个节点至少有一块盘） kubectl exec it kubectl get pods n rookcephgrep rookcephtoolsawk '{print $1}' n rookceph bash bash5.1$ ceph s cluster: id: e7abf175ad9c420a92051328f8097a75 health: HEALTHWARN mon b is low on available space services: mon: 3 daemons, quorum a,b,c (age 12h) mgr: a(active, since 12h), standbys: b mds: 1/1 daemons up, 1 hot standby osd: 3 osds: 3 up (since 12h), 3 in (since 13h) data: volumes: 1/1 healthy pools: 4 pools, 81 pgs objects: 34 objects, 639 KiB usage: 203 MiB used, 120 GiB / 120 GiB avail pgs: 81 active+clean io: client: 1.2 KiB/s rd, 2 op/s rd, 0 op/s wr OSD 可用存储设备满足条件： 设备必须没有分区。 设备不得具有任何 LVM 状态。 不得安装设备。 该设备不得包含文件系统。 该设备不得包含 Ceph BlueStore OSD。 设备必须大于 5 GB。 使用Ceph

本章节主要介绍翼MapReduce服务的元数据功能。 选择在翼MR集群部署Hive、Ranger、Amoro、Hue或DolphinScheduler组件时，翼MR提供关系数据库MySQL版（CTRDS MySQL）的元数据存储方式。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库，元数据将存储于关联的数据库中，不会随当前集群的删除而删除，多个翼MR集群可共享同一份元数据。 配置信息说明 当您选择部署Hive、Ranger、Amoro、Hue或DolphinScheduler集群服务时，需要填写元数据库有关的五项配置，包括数据库主机、数据库端口、数据库名称、数据库用户名、数据库密码。 1. 数据库主机与端口：开通MySQL实例后，可从基本信息中获取主机与端口号信息。 2. 数据库名称：开通MySQL实例后，可在数据库管理页面创建数据库并设置数据库名称。建库时，字符集建议选择utf8mb4，校验规则推荐选择utf8mb4unicodeci。 3. 数据库用户名与密码：开通实例后，可前往账号管理创建账户，并为该账号授予目标数据库的权限。请确保填写的用户拥有该数据库的读写权限。 说明 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置元数据库信息时，请提前创建数据库，若需要部署多个服务，请创建多个数据库，创建方式可参考 3、元数据配置所需信息可前往 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致Hive、Ranger、Amoro、Hue或DolphinScheduler异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入相应的集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息并进行初始化。

本文介绍数据库管理服务为云数据库提供数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL、SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 用户已经开启了数据库审计，详见：开启数据库审计。 操作步骤 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击SQL治理 > SQL审计，进入SQL审计明细界面。 注意事项 SQL审计明细的日志记录默认只保存1天，可设置范围为1~3天。若需要更改最长保存时间（最长支持180天）请联系客户经理评估调整。 仅超级管理员、系统管理员和审计管理员可以进入SQL审计日志界面。 MySQL审计日志中影响行数、返回行数、扫描行数、执行耗时、锁等待时间若无法查看则为历史版本，有需要请联系数据库内核升级版本即可。 若DDS不支持数据库审计，需先升级数据库内核版本。 功能介绍 SQL审计的日志记录了历史所有数据库操作记录，您需要先选择查看的时间范围和实例，点击查询按钮即可查看。 SQL审计明细日志搜索 SQL审计日志支持多个维度的联合搜索，不同数据库类型搜索项存在差异，常见搜索项说明如下 搜索项 说明 时间范围 选择查询的时间范围 数据库类型 选择DMS支持的数据库类型，必填 实例 实例名称，必填 节点IP 数据库实例节点IP，必填 数据库名 实例中数据库名称，可使用通配符%，指代任意长度字符 SQL执行类型 选择SQL语句的类型 SQL文本 SQL语句文本，大小写不敏感，可使用通配符%，指代任意长度字符 按时间排序 是否将查询结果按照时间排序，开启后将严重影响查询性能，建议关闭 数据库账号 大小写不敏感，可使用通配符%，指代任意长度字符 客户端IP 客户端IP地址，可使用通配符%，指代任意长度字符 SQL执行结果 SQL执行是否成功 注意 由于MySQL审计日志数据量较大，搜索的时间范围跨度仅限1天。

本文为您介绍配置隧道网关的操作方法。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、H3C S6520交换机为例。 操作步骤（华为CE6850交换机） 操作步骤（H3C S6520交换机） 约束与限制 如果您的IDC需要与云上企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，若有高可靠性要求，建议VXLAN交换机组堆叠部署。 示例组网说明 本示例场景中，规划的二层网络的子网网关和VXLAN隧道在不同的交换机上。 云上隧道IP是10.0.6.3，用户IDC侧隧道交换机的隧道IP是2.2.2.2，隧道号（VNI）是5010，仅供参考。 图配置远端隧道网关 操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 注意 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 1. 登录隧道交换机，执行命令 systemview ，进入系统视图。 2. 进入loopback 0接口视图，配置隧道IP。 3. 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 4. 执行命令 quit ，退出接口视图，返回到系统视图。 5. 执行命令 bridgedomain ，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridgedomain 10 vxlan vni 5010 6. 执行命令 quit ，退出BD视图，返回到系统视图。 7. 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridgedomain 10 8. 执行命令 interface nve ，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 9. 在NVE接口视图下，执行命令 vni ，配置VNI的头端复制列表。 配置示例： vni 5010 headend peerlist 10.0.6.3 10. 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose

本文介绍边缘安全加速平台的产品优势。 随着全球在线业务的发展，企业拓展业务的趋势日益增长，这也为用户体验和数据资产安全带来了更为复杂的挑战。 AOne边缘安全加速平台提供了加速、计算和安全为一体的服务，为您的业务运营提供全方位的保障。 极致的加速体验 优质的资源覆盖： CN2 和 163 互备支撑，所有节点和 IDC 出口并行，避免峰值带宽拥堵。 智能高效：智能分离站点内容，实现网络智能加速。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持 http / https 协议加速、上传加速、websocket 加速、IPv6 升级等。 37层一体化防护 DDoS 防护：提供分布式DDoS攻击清洗，超百G节点大区粒度覆盖，防护总带宽超过12T。结合云原生、智能调度能力，实现资源动态扩容，攻击调度，满足用户三网防护需求，保障业务可用性。 Web 安全防护：基于 AI+ 规则的 Web 攻击识别，有效防御 SQL 注入、XSS 跨站脚本攻击等 OWASP TOP 10的关键 Web 风险。 Bot管理：基于已知Bot情报、精准访问控制、客户端特性识别、人机交互验证、机器学习等智能识别与检测技术，对业务流量进行实时检测和分析，智能识别并区分真实用户流量与各类Bot流量。 API 安全防护：基于安全可靠的接入认证方式，保证 API 访问安全。 持续认证动态评估：持续认证过程引入RBAC（基于角色的访问控制）与ABAC（基于属性的访问控制）鉴权体系，能根据角色及用户属性、环境属性、资源属性等综合授予用户访问权限。 全链路HTTPS：支持全链路HTTPS安全传输方案，防劫持防篡改，保护数据安全。 基于全网的HTTPDNS防劫持：支持用户通过HTTPDNS协议访问天翼云服务器，绕过运营商的LocalDNS解析，避免域名在解析阶段被劫持。 全周期安全保护：基于可信授权、最小授权、持续认证、业务隐身、终端安全、应用安全、链路安全等核心能力，对访问过程进行持续的安全保护，实现在任意网络环境中安全访问企业资源。

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

本文主要介绍 通过grafana查看AOM中的指标数据 前提条件 已创建弹性云主机ECS。 已创建弹性公网IP，并绑定到购买的弹性云主机ECS上。 操作步骤 步骤 1 安装并启动Grafana，具体操作请参见Grafana官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 说明 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 配置Grafana。 1. 登录Grafana。 2. 在左侧菜单栏，选择“Configuration > Data Sources”，单击“Add data source”。 配置Grafana 3. 单击“Prometheus”，进入Prometheus配置页面。 进入Prometheus配置页面 4. 参考示例配置参数。 Password：将Password设置为步骤2中生成的AccessCode。 User：aomaccesscode。 − URL： {URIscheme}://{Endpoint}/v1/{projectid} URIscheme：表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同。 projectid 为项目的ID。 说明 Auth下Basic auth和Skip TLS Verity的开关必须开启。 accesscode与projectid有对应关系，请在填写时确认匹配关系。 配置参数 5. 配置完成后，单击“Save&Test”，验证是否配置成功。 配置成功即可使用Grafana配置Dashboards，查看指标数据。 配置完成

本文向您介绍批量导入/导出域名解析记录。 批量导出解析记录 操作场景 当用户想要将通过云解析服务解析的域名转出到其他DNS服务商时，可以通过本操作批量完成域名解析记录的导出。 内网域名解析记录支持导出的信息包括：域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导出解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 单击页面右上角的“批量导出”，导出域名解析记录。 导出完成后，会生成格式为“域名.xlsx”的解析记录表格。例如“example.com.xlsx”。 在导出表格中可以查看导出的解析记录，包括域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 批量导入解析记录 操作场景 当用户想要将域名导入到内网DNS进行解析时，可以通过本操作批量完成域名解析记录的导入。 最多支持每次导入500条解析记录。 说明 在批量导入域名解析记录之前，需要在云解析服务完成内网域名的创建。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导入解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 在进行批量导入前，需要首先完成导入模板的填写。 1. 在批量导入/导出详情页面，单击“下载模板”，获取导入模板。 2. 按模板要求完成解析记录的填写。 说明 如果您已经在域名的转出方导出了域名解析记录，需要将导出的内容填写到模板中，否则将无法导入成功。 5. 单击页面右上角的“批量导入”，选择填写完成的导入模板，开始执行批量导入。 导入完成后，可以通过查看“导入成功记录”和“导入失败记录”检查解析记录导入是否成功。 导入成功记录：显示导入成功的记录数。 导入失败记录：逐条显示导入失败的记录，您可以根据“失败原因”对导入失败的记录进行处理。 注意 重新导入解析记录之前，请先单击页面右上角的“清空”，将之前的导入成功记录和导入失败记录清空后再操作。

本节介绍了裸金属如何通过NAT网关、子网ACL配置实现公网互访。 裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节主要介绍通过NAT网关实现公网互访。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。 VPC内的实例出方向访问通过SANT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 前提条件 虚拟私有云的子网类型为裸金属子网。 已创建裸金属实例。 已创建与裸金属实例同VPC的NAT网关。 已创建空闲的弹性IP。 已创建空闲的子网ACL。 裸金属实例通过NAT网关访问公网 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 绑定】，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置SNAT规则】进入网关详情。 4. 在【添加SNAT规则】页面，子网需要选择与裸金属实例相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 5. 在【SNAT】页签可以查看已添加的规则。 6. 登录裸金属，输入账号密码，ping测公网IP地址的联通性。

本节介绍了裸金属如何通过NAT网关、子网ACL配置实现公网互访。 裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节主要介绍通过NAT网关实现公网互访。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。 VPC内的实例出方向访问通过SANT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 前提条件 虚拟私有云的子网类型为裸金属子网。 已创建裸金属实例。 已创建与裸金属实例同VPC的NAT网关。 已创建空闲的弹性IP。 已创建空闲的子网ACL。 裸金属实例通过NAT网关访问公网 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 绑定】，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置SNAT规则】进入网关详情。 4. 在【添加SNAT规则】页面，子网需要选择与裸金属实例相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 5. 在【SNAT】页签可以查看已添加的规则。 6. 登录裸金属，输入账号密码，ping测公网IP地址的联通性。

请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。 示例： 云主机根据regionID查询用户资源，则需使用这个区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 请求方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST <

本小节介绍如何使用AntiDDoS流量清洗。 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 本指南通过查看公网IP、开启AntiDDoS告警通知、配置AntiDDoS防护策略，以及查看监控和拦截报告的方式，指导您快速上手AntiDDoS流量清洗服务。 准备环境 1. 登录天翼云控制中心。 2. 在控制中心选择“计算 > 弹性云主机”，创建一台弹性云主机（ECS），用于AntiDDoS流量清洗提供DDoS攻击保护的弹性公网IP。 说明 ECS需要绑定一个弹性IP，具备外网访问权限。 如果用户已有VPC和ECS，可重复使用，无需多次创建。 查看公网IP 1. 选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS流量清洗页面。 2. 选择“公网IP”页签，查看已开启AntiDDoS防护的公网IP。 说明 购买了公网IP后，自动开启AntiDDoS“默认防护”。开启AntiDDoS防护后，即可对开启防护的IP地址提供DDoS攻击保护。 开启AntiDDoS防护后，当检测到报文总流量达到120Mbps时，触发流量清洗功能。如果需要配置AntiDDoS的防护策略，可以修改防护参数。 AntiDDoS为普通用户提供2Gbps的DDoS攻击防护，最高可达5Gbps，系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃；对于可能会遭受超过5Gbps流量攻击的应用，建议您购买DDoS高防服务，提升防护能力。

本文为您介绍使用AD域用户身份挂载文件系统的操作步骤。 前提条件 文件系统和云主机必须归属同一VPC内，否则无法挂载成功。 操作步骤 说明 使用域用户身份挂载文件系统的操作在AD域内普通客户端（非AD域控制器）上进行。 1. 登录AD域普通客户端。 2. 使用域用户身份挂载文件系统与一般挂载CIFS文件系统的操作步骤基本相同，参考挂载CIFS文件系统到弹性云主机 (Windows)。 不同的是在客户端输入挂载地址后，点击“完成”时需要输入在创建AD域用户时设置的用户名和密码。 3. 输入正确的用户名和密码后点击“确定”，文件系统即被挂载成功，可以作为一个普通的磁盘来使用。

本文介绍NAT网关—DNAT规则类相关问题。 为什么使用DNAT？ DNAT是一种网络地址转换技术，用于改变数据包中的目标IP地址和端口号。当数据包从外部网络传输到内部网络时，DNAT会将数据包中的目标IP地址和端口号替换为内部网络中对应的IP地址和端口号，以便正确地将数据包传递给内部主机，从而保护自己的服务器不暴露在公网中，以免受到攻击。 同时，DNAT功能可以实现VPC内多个云主机共享弹性IP，为互联网提供服务。 DNAT规则是否支持更新操作？ 支持 进入NAT网关实例详情页，选择DNAT规则，点击需要修改的DNAT规则操作列中的“修改”按钮，即可修改DNAT规则。 操作流程详见管理DNAT规则。

本节为您介绍创建静态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，配置静态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 在详情页，单击“静态路由 >添加”。 6. 根据页面提示，填写目的网段和下一跳参数。 7. 单击“确定”，完成静态路由规则配置。

本小节介绍如何购买第三方证书部署服务。 操作场景 已上传的第三方证书支持一键部署到天翼云上弹性负载均衡 、Web应用防火墙（原生版） 、CDN加速相关产品，提升业务便捷性。 操作步骤 1. 登录证书管理服务控制台。 2. 单击“购买证书”，进入到证书管理服务产品购买页面。 3. 服务类型选择“第三方证书部署服务”。 4. 选择第三方证书部署服务的购买数量，单次最多可购买200个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成第三方证书部署服务的购买。

本节介绍了如何删除云数据库GaussDB 的实例。 操作场景 用户需要删除不需要的数据库实例。 用户需要删除创建失败的数据库实例。 须知： 实例删除后，不可恢复，请谨慎操作。如需保留数据，请务必确认完成数据备份后再删除实例。 执行操作中的实例不能手动删除，只有在实例操作完成后，才可删除实例。 “按需计费”类型的实例删除后手动备份会继续保留。 删除按需实例 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面的实例列表中，选择需要删除的实例，在“操作”列，单击“更多 > 删除实例”。 步骤 3 在“删除实例”弹框，单击“是”下发请求，稍后刷新“实例管理”页面，查看删除结果。