本文主要介绍 连接已开启SASL的Kafka实例。 创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为 TLSECDHEECDSAWITHAES128CBCSHA256 ， TLSECDHERSAWITHAES128CBCSHA256和 TLSECDHERSAWITHAES128GCMSHA256 。 本章节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka实例的方法，其中包含在内网中通过同一个VPC连接实例和通过公网连接实例两个场景。如果是使用DNAT访问实例，请参考使用DNAT访问Kafka实例。 说明 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过 前提条件 1.已配置正确的安全组。 访问开启SASL的Kafka实例时，实例需要配置正确的安全组规则，具体安全组配置要求，请参考上表。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9093，实例连接地址获取如下图。 图 使用内网通过同一个VPC访问Kafka实例的连接地址（实例已开启SASL） 如果是公网访问，实例端口为9095，实例连接地址获取如下图。 图 公网访问Kafka实例的连接地址（实例已开启SASL） 3.已获取开启的SASL认证机制。 在Kafka实例详情页的“连接信息”区域，查看“开启的SASL认证机制”。如果SCRAMSHA512和PLAIN都开启了，根据实际情况选择其中任意一种配置连接。如果页面未显示“开启的SASL认证机制”，默认使用PLAIN机制。 图 开启的SASL认证机制 4.如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 5.已下载client.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“连接信息 > SSL证书”所在行，单击“下载”。下载压缩包后解压，获取压缩包中的客户端证书文件：client.jks。 6.已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本或者Kafka命令行工具2.7.2版本，确保Kafka实例版本与命令行工具版本相同。 7.已创建弹性云服务器，如果使用内网通过同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。在弹性云服务器中安装Java Development Kit 1.8.111或以上版本，并配置JAVAHOME与PATH环境变量，具体方法如下： 使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$​JAVAHOME/bin:JAVAH​OME/bin:$​PATH 执行source .bashprofile命令使修改生效。

本文为您介绍如何使用IPsec VPN,在本地数据中心IDC与VPC之间建立IPsec连接。 场景示例 以下图组网场景为例，某公司在天翼云创建了VPC，子网网段为192.168.1.0/24和192.168.2.0/24。本地数据中心的网段为172.16.1.0/24，本地网关设备的公网IP为121.XX.XX.113。公司因业务发展，需要将本地数据中心与云上VPC互通。您可以通过IPsec VPN，建立本地数据中心与云上VPC的连接，实现云上和云下的加密通信。 环境要求 本地数据中心的VPN网关设备必须配置公网IP地址。 本地数据中心的VPN网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和天翼云VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 使用流程 1. 创建VPN网关 创建VPN网关并开启IPsec VPN功能，一个VPN网关可以建立多条IPsec连接。 2. 创建用户网关 通过创建用户网关，您可以将本地数据中心VPN网关设备的信息注册到天翼云上。 3. 创建IPsec连接 IPsec连接是指VPN网关和本地数据中心VPN网关设备建立连接后的VPN隧道。只有在建立IPsec隧道后，本地数据中心才能使用VPN网关进行加密通信。 4. 配置VPN网关路由（可选）。 当创建的IPsec连接配置的路由模式为“目的路由”时，您需要在VPN网关中配置路由，并发布路由到VPC路由表以实现本地数据中心和VPC的通信。 当创建的IPsec连接配置的路由模式为“感兴趣路由”时，无需执行此操作。 5. 配置本地网关设备 您需要在本地数据中心的网关设备中添加VPN配置。 6. 测试连通性 登录到天翼云VPC内一台弹性云主机实例，通过ping命令，ping本地数据中心内一台服务器的私网IP地址（未禁用ping探测），验证通信是否正常。

本节介绍如何配置重保防护的黑白名单规则。 重保防护支持配置全局IP黑白名单，对经过云WAF防护域名的访问源IP进行黑白名单设置，来自黑白名单中的IP地址/IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。 支持添加IPv4、IPv6地址，支持添加IP地址段。 重保防护提供的全局IP黑白名单，检测逻辑优先级高于IP黑白名单检测；内部检测逻辑，白名单高于黑名单。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 重保防护场景”，进入重保防护配置页面。 5. 单击“新建黑白名单”，弹出新建黑白名单规则窗口，配置黑白名单规则参数，参数说明如下。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 生效范围 支持选择“全部防护对象”或“特定防护对象”。 全部防护对象：配置的黑白名单规则对所有已接入的域名生效。 特定防护对象：配置的黑白名单规则仅对所选域名生效，可以选择多个域名。 说明 不支持独享版防护对象和监听器防护对象。 6. 配置完成后，单击“确定”。可以在列表中查看已新建的黑白名单规则。

迁移中升级带宽后，迁移使用的是升级前的带宽还是升级后的带宽？ 升级带宽后，迁移使用的实际带宽取决于下面最小的带宽。升级带宽后，需要等待510分钟，才可生效，请耐心等待。 源端服务器升级后的带宽。 目的端服务器入云带宽。 SMS控制台设置的网速限制。 迁移速度由源端带宽决定还是目的端带宽决定？ 迁移速度取决于源端的出口带宽和目的端的入云带宽。取两者中较小值进行迁移。 如何判断迁移任务是不是卡住？ 迁移任务如果长时间不动，可能是以下三种情况，需要查看源端Agent日志确定。 情况一：迁移任务处于“持续同步”阶段。 “持续同步”是主机迁移服务新增的功能，会自动同步源端数据。在配置目的端时，“是否持续同步”选择“是”，全量复制完成后会自动进入“持续同步”阶段。 迁移任务处于“持续同步”阶段的时候，迁移并没有完成，需要手动启动目的端，因此，在未手动启动目的端前，迁移任务会一直处于“持续同步”阶段。启动目的端完成后，才算一次完整的迁移。 情况二：数据迁移中。 数据迁移进行全量复制时，长时间处于某一进度，可能是由于迁移数据量大，迁移速率慢，导致长时间内进度无明显变化，需要查看日志进行确认。若迁移速率不为0，已迁移数据量持续增加，则表明迁移正常。 情况三：启动目的端卡住。 1、启动目的端后任务进度条长时间为0，可能是在执行最后一次同步任务。启动目的端时会进行一次数据同步，期间进度条无变化，数据同步时间长短由源端数据量决定，如果数据量过大，会导致数据比对时间长，该现象为正常现象。若要确定是否在进行数据同步，可查看smsInfo.log最新日志，若启动目的端之后未出现error级别日志，则表明任务正常。 2、启动目的端后任务进度条有进度但长时间无变化，可尝试暂停任务，再次启动任务，等待一段时间（10分钟左右）再次查看是否发生变化。

介绍配置子用户授权的具体步骤。 适用场景 媒体存储支持对子用户进行策略授权，对子用户进行细粒度权限控制。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 前提条件 主账号登录天翼云统一身份认证控制台。 主账号完成新建子用户操作，具体可参考 新建子用户 。 新增子用户授权 说明 此章节由主账号操作。 1. 主账号使用天翼云账号登录天翼云统一身份认证控制台，点击左侧导航窗格的【用户】，在用户列表选择目标子用户对应的操作栏中点击【查看】按钮，进入用户详情页面。 2. 进入用户详情后，点击【权限管理】，在【个人权限】页签，点击【新增权限】。 3. 在【新增授权】的页面，利用搜索框输入【媒体存储产品侧授权】，点击搜索图标，可以检索出一条名为【媒体产品侧授权】的系统全局策略，如下图所示。 4. 勾选【媒体存储产品侧授权】策略，并点击【下一步】，在【设置最小授权范围】这一页无需做任何配置，直接点击【确定】，完成本次权限配置。至此，当前子用户具备了使用媒体存储产品控制台的权限。 注意 媒体存储尚未实现与CTIAM自定义策略对接。因此，请勿使用CTIAM权限管理的【新增权限】选择您【自定义策略】去授权，或将作用范围配置为特定资源池。 5. 上述操作只是给该子用户配置了拥有登录媒体存储产品控制台的权限，如需给子用户配置具体的自定义细化策略，需主账号登录[媒体存储控制台](

本节主要介绍为企业项目迁入资源 当资源需要按照企业业务进行分组管理或当资源分组发生变化时，可以对资源进行迁入或迁出操作，实现资源管理权限的重新分配。 企业项目管理支持跨资源节点将资源迁入到同一企业项目授权管理。 操作步骤 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”，在企业管理控制台左侧导航菜单中，单击“项目管理”。 步骤 3 在企业项目管理页中的项目列表，单击企业项目名称，在企业项目详情页中，单击“资源”页签。 步骤 4 在“资源”页签，单击“迁入”，弹出迁入资源对话框。 系统显示“迁入资源”页面。 步骤 5 选择“迁入方式”。 单资源迁入：将每个资源作为独立资源迁入，并且可以同时迁入多个资源。 如果是除ECS外的其他资源时，那么必须选择此项。 如果资源是ECS，可以选择此项，表示只迁入ECS，不迁入ECS的关联资源，例如该ECS绑定的云硬盘和弹性IP。 ECS关联迁入：只需选择ECS资源，其关联的资源将自动同时迁入。 仅当资源是ECS，才可以选择此项，目前仅支持ECS及其关联资源云硬盘、弹性IP同时迁入。 步骤 6 在资源列表上方的筛选框中对“服务”、“区域”和“企业项目”进行筛选，或者在搜索框中直接输入资源名称进行精确搜索。 步骤 7 单击列表中资源类型列的，对“资源类型”进行筛选。 下方展示符合条件的资源。 迁入方式为“ECS关联迁入”时，不支持对“服务”和“资源类型”进行筛选。 步骤 8 勾选待迁入资源，单击“确定”。 资源迁入完成，在当前企业项目的资源列表中即可查看迁入的资源。

优势 多源数据分析免搬迁：关系型数据库RDS中存放车辆和车主基本信息，表格存储中存放实时的车辆位置和健康状态信息，数据仓库DWS中存放周期性统计的指标。通过DLI无需数据搬迁，对多数据源进行联邦分析。 数据分级存储：车企需要保留全量历史数据支撑审计类等业务，低频进行访问。温冷数据存放在低成本的对象存储服务OBS上，高频访问的热数据存放在数据引擎（DWS）中，降低整体存储成本。 告警快速敏捷触发服务器弹性伸缩：对CPU、内存、硬盘空间和带宽无特殊要求。 建议搭配以下服务使用： CDM、OBS、DWS。 大数据ETL处理 运营商大数据分析 运营商数据体量在PB~EB级，其数据种类多，有结构化的基站信息数据，非结构化的消息通信数据，同时对数据的时效性有很高的要求，DLI服务提供批处理、流处理等多模引擎，打破数据孤岛进行统一的数据分析。 优势 大数据ETL：具备TB~EB级运营商数据治理能力，能快速将海量运营商数据做ETL处理，为分布式批处理计算提供分布式数据集。 高吞吐低时延：采用Apache Flink的Dataflow模型，高性能计算资源，从用户自建的Kafka、MRSKafka、DMSKafka消费数据，单CU每秒吞吐1千~2万条消息。 建议搭配以下服务使用： OBS、DataArts Studio。

本文为您介绍云监控服务支持的云搜索服务Elasticsearch实例的指标。 以下为云监控服务支持实时监控云搜索服务实例的核心指标，方便您及时掌握实例使用情况，处理异常状况。 实例监控指标列表 监控周期：1分钟 指标名称 指标介绍 esclhealthstatus Elasticsearch实例状态，1表示green，2表示yellow，3表示red esclactiveprimaryshards Elasticsearch实例活跃主分片数 esclactiveshards Elasticsearch实例活跃分片数 esclrelocatingshards Elasticsearch实例迁移中分片数 esclinitializingshards Elasticsearch实例初始化中分片数 esclunassignedshards Elasticsearch实例未分配分片数 esclnodes Elasticsearch实例节点总数 esclhealthnodes Elasticsearch实例存活节点数 esclhealthdatanodes Elasticsearch实例存活数据节点数 esclunhealthnodes Elasticsearch实例异常节点数 esclindicesstoresize Elasticsearch实例索引存储总量 esclindicesdocstotalmax Elasticsearch 集群最大文档数索引 escldiskusageavg Elasticsearch 实例平均磁盘使用率 escljvmheapusagemax Elasticsearch 实例最大JVM堆使用率 esclcpuusageavg Elasticsearch 实例平均CPU使用率 esclcpuusagemax Elasticsearch 实例最大CPU使用率 esclbulkrejectrate Elasticsearch 实例bulk拒绝率 esclqueryrejectrate Elasticsearch 实例查询拒绝率 esclindexlatencyavg Elasticsearch 实例平均写入延迟 esclindexlatencymax Elasticsearch 实例最大写入延迟 esclsearchlatencyavg Elasticsearch 实例平均查询延迟 esclsearchlatencymax Elasticsearch 实例最大查询延迟 esclfsreadopscount Elasticsearch 实例磁盘总读IOPS esclfsreadsizekbsum Elasticsearch 实例磁盘读总带宽 esclfswriteopscount Elasticsearch 实例磁盘总写IOPS esclfswritesizekbsum Elasticsearch 实例磁盘写总带宽 esclmemusedratioavg Elasticsearch 实例平均已用内存比例 esclmemusedratiomax Elasticsearch 实例最大已用内存比例 esclmemfreeratioavg Elasticsearch 实例平均可用内存比例 esclmemfreeratiomax Elasticsearch 实例最大可用内存比例 esclloadavg Elasticsearch 实例平均节点load值 esclloadmax Elasticsearch 实例最大节点load值 escldoccount Elasticsearch 实例文档数量 esclsearchrate Elasticsearch 实例平均查询速率 escldocdeleted Elasticsearch 实例被删除的文档数量 esclhttpconncurrent Elasticsearch 实例当前已打开的HTTP连接数 esclhttpconnmax Elasticsearch 实例最大当前打开的HTTP连接数 esclsharddocthreshold Elasticsearch 实例文档超过阈值分片数量 esclshardstoresizemax Elasticsearch 实例集群最大分片存储量 esclreadonlyindexcount Elasticsearch 实例只读索引个数 esclshardpercent Elasticsearch 实例分片数配额使用率

本文带您了解如何使用告警规则。 操作场景 您可以根据需要灵活创建告警规则，既可以使用我们提供的默认告警模板为云服务创建告警规则，也可以对具体监控指标进行自定义告警规则的设置。 当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击!，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数，配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续发生一次 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 创建/启用/修改/删除告警规则等操作，参见告警规则。 7. 配置的告警规则状态变化及操作逻辑说明如下： 逻辑/状态变化 告警规则（已启用） 告警规则（已停用） 正在告警（告警中） 正在告警（无数据） 历史告警（已恢复） 历史告警（已过期） 历史告警（已失效） （指标类）判断监控无数据 × × 正在告警（无数据） × × × × 停用告警规则 告警规则（已停用） / 历史告警（已失效） 历史告警（已失效） × × × 启用告警规则 / 告警规则（已启用） / × × × × 修改已启用告警规则 × × 历史告警（已失效） × × × × 修改已停用告警规则 × × × × × × × 删除已启用告警规则 / / 历史告警（已失效） 历史告警（已失效） × × × 删除已停用告警规则 / / / / × × × （指标类）监控无数据再次上报且触发告警 × × × 正在告警（告警中） × × × （指标类）监控无数据再次上报且未触发告警（恢复） × × × 历史告警（已恢复） × × × （事件类）超过7天无新数据 × × 历史告警（已过期） / / × / 说明 /为不存在该场景，x为状态无变化。 未标记指标类/事件类，则为通用场景。

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本文介绍全站加速域名操作日志页面信息。 功能介绍 域名操作日志，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务信息，方便跟进操作的进度以及追溯操作历史，辅助管理客户业务。当您在域名管理操作中，新增域名或对某个域名的配置进行了变更，编辑完成后，每提交一次任务，系统都会生成一条域名操作工单（编号唯一），该工单编号作为天翼云内部各系统对本次变更任务的跟踪管理和结果管理，且系统会实时更新工单的处理状态（进行中、成功、失败），通过【客户控制台】 【域名管理】【操作日志】展示出来，方便用户及时感知。 工单状态及处理建议： 1. 工单【状态】【成功】：常规域名变更任务，一般会在5~10分钟内部署完成，每当重新进入【工单列表】页签控制台会自动更新工单状态，可以看到工单【状态】变化，从【进行中】变更为【成功】，此时说明配置已全局部署并生效，工单闭环。 2. 工单【状态】【进行中】：如果等待10分钟以上，重新刷新【工单列表】其状态依然是【进行中】，而又比较着急的话，请通过提交工单（客服工单）联系天翼云客服，由其帮您定位域名操作工单（本文档所介绍的工单）的内部处理进展，直至闭环。 3. 工单【状态】【失败】：如果工单显示失败，请通过提交工单（客服工单）联系天翼云客服，由其帮您定位域名操作工单失败原因，直至闭环。

添加监控视图 在完成监控看板的创建后，您就可以添加监控视图对云服务进行监控。目前每个监控看板最多支持24个监控视图。 在同一个监控视图里，您可以添加20个监控指标，支持跨服务、跨维度、跨指标进行对比监控。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 选择“总览 > 监控面板”，切换到需要添加监控视图的监控面板，然后单击“添加监控视图”。 系统弹出“添加监控视图”窗口。 4. 在“添加监控视图”界面，参照表1完成参数配置。 表 1 配置参数 参数 参数说明 标题 自定义关注指标组件的标题名称，该名称只能由中文、英文字母、数字、下划线、中划线组成，长度限制为128字节。 取值样例：widgetaxaj 归属企业项目 监控视图关联的企业项目，只有有企业项目的权限，才有权查看此监控视图的监控数据。 资源类型 所关注指标对应的服务名称。 取值样例：云硬盘 维度 所关注指标的维度名称。 取值样例：磁盘 监控对象 所关注指标对应的监控对象，数量上限为20个。可支持一次勾选多个监控对象。 监控指标 所关注指标的名称。 取值样例：磁盘读带宽 5. 单击“确定”，完成监控视图的添加。 在所选的监控看板上可以查看新添加监控视图的监控走势图，单击，可放大查看详细的指标对比数据。

本页面介绍了云数据库ClickHouse的常见数据类型。 以下是云数据库ClickHouse中常见的数据类型及其取值范围和具体描述： 数据类型 取值范围 描述 Int8 128 到 127 有符号的8位整数 Int16 32,768 到 32,767 有符号的16位整数 Int32 2,147,483,648 到 2,147,483,647 有符号的32位整数 Int64 9,223,372,036,854,775,808 到 9,223,372,036,854,775,807 有符号的64位整数 UInt8 0 到 255 无符号的8位整数 UInt16 0 到 65,535 无符号的16位整数 UInt32 0 到 4,294,967,295 无符号的32位整数 UInt64 0 到 18,446,744,073,709,551,615 无符号的64位整数 Float32 约为 3.4e38 到 3.4e38 单精度浮点数 Float64 约为 1.7e308 到 1.7e308 双精度浮点数 Decimal(M, D) 依据M和D的值而定 固定精度的十进制数，M为总位数，D为小数位数 String 可变长度的字符串 可变长度的字符序列 FixedString(N) 固定长度的字符串，N为长度 固定长度的字符序列 Date 日期，格式为YYYYMMDD 日期类型 DateTime 日期和时间，格式为YYYYMMDD HH:MM:SS 日期和时间类型 DateTime64(N) 带有纳秒精度的日期和时间，N为纳秒的位数 带有纳秒精度的日期和时间类型 UInt8 (布尔型) 0 表示 False，1 表示 True 布尔类型 Enum8 有限离散值，根据具体枚举值而定 具有预定义值的枚举类型 Enum16 有限离散值，根据具体枚举值而定 具有预定义值的枚举类型 Array(T) 元素类型为T的数组 由相同类型的元素组成的可变长度数组 IPv4 IPv4地址 IPv4地址类型 IPv6 IPv6地址 IPv6地址类型 UUID 通用唯一标识符 通用唯一标识符类型 LowCardinality(T) 低基数的枚举类型，T为底层类型 具有低基数的枚举类型，适用于具有大量重复值的枚举类型 说明 取值范围和精度可能会受到特定环境、配置和数据类型定义的限制。在实际使用时，请根据具体需求和数据类型的定义选择适当的数据类型，并确保数据的正确性和合理性。

本文主要介绍监控。 您可以在云监控服务控制台查看弹性负载均衡服务上报的监控指标以及产生告警信息。 监控指标说明 ELB支持的监控指标说明表 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 （原始指标） :::::: m1cps 并发连接数 在四层负载均衡器中，指从测量对象到后端云主机建立的所有TCP和UDP连接的数量。 在七层负载均衡器中，指从客户端到ELB建立的所有TCP连接的数量。 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m2actconn 活跃连接数 从测量对象到后端云主机建立的所有ESTABLISHED状态的TCP或UDP连接的数量。 Windows和Linux云主机都可以使用如下命令查看。 netstat an 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m3inactconn 非活跃连接数 从测量对象到所有后端云主机建立的所有除ESTABLISHED状态之外的TCP连接的数量。 Windows和Linux云主机都可以使用如下命令查看。 netstat an 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m4ncps 新建连接数 从客户端到测量对象每秒新建立的TCP和UDP连接数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m5inpps 流入数据包数 测量对象每秒接收到的数据包的个数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m6outpps 流出数据包数 测量对象每秒发出的数据包的个数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m7inBps 网络流入速率 从外部访问测量对象所消耗的流量。 单位：字节/秒 ≥ 0bytes/s 共享型负载均衡器 共享型负载均衡监听器 1分钟 m8outBps 网络流出速率 测量对象访问外部所消耗的流量。 单位：字节/秒 ≥ 0bytes/s 共享型负载均衡器 共享型负载均衡监听器 1分钟 m9abnormalservers 异常主机数 健康检查统计监控对象后端异常的主机个数。 单位：个 ≥ 0个 独享型负载均衡器 共享型负载均衡器 1分钟 manormalservers 正常主机数 健康检查统计监控对象后端正常的主机个数。 单位：个 ≥ 0个 独享型负载均衡器 共享型负载均衡器 1分钟

本文主要介绍了重点操作短信验证的验证规则。 短信验证规则 1.若您已开启短信验证，在您进行重点操作时，在点击最后一步"确认"时弹出二次认证窗口，进行短信验证，如下图所示。 2.点击“发送验证码”，系统向绑定的天翼云手机号发送二次认证码，每间隔1分钟才能获取验证码。在您进行短信验证时，验证码单次有效时间10分钟，请在有效时间内完成验证，如下图所示。 注意 请勿关闭弹窗并及时验证，关闭该弹窗验证码即失效。 3.点击“确认”按钮后，即可进行重点操作。短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为15分钟，15分钟内做其他操作不需要重复验证。

本文帮助您快速熟悉查看安全组。 操作场景 当您需要了解已有的安全组信息，可以通过网络控制台进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。此时展示页面当前资源池下已有的安全组列表，可以查看安全组的名称、ID、描述等信息 5. 点击安全组名称，进入所选安全组的详情页。在详情页，可以查看安全组的基本信息、入方向规则、出方向规则、关联实例信息。

配额项目 默认配额 申请扩大配额 单个镜像会话可关联的镜像源数量 10个 可通过工单，申请更多配额 单个镜像源可被关联的镜像会话数量 3个 不支持修改 单个镜像会话可关联的镜像目的数量 1个 不支持修改 单个镜像目的可被关联的镜像会话数量 镜像目的为云服务器网卡时：10个 镜像目的为弹性负载均衡时：200个 不支持修改 单个镜像会话可关联的筛选条件数量 1个 不支持修改 单个筛选条件可被关联的镜像会话数量 1000个 不支持修改 单个筛选条件可添加的规则数量 入方向规则：10个 出方向规则：10个 不支持修改 一个用户在单个区域可创建的镜像会话数量 20000个 不支持修改

在使用全链路灰度能力时，若涉及消息的灰度，可以开启消息灰度能力。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 消息灰度 消息灰度参数说明： 参数 说明 未打标环境忽略标签 未打标环境默认会消费所有环境的消息。若配置“未打标环境忽略标签”，则未打标环境会忽略配置的标签。 开启消息灰度开关 消息灰度生效开关。 消息灰度过滤侧 客户端过滤：在消费端MSE Agent过滤，会拉取所有的消息，建议提前评估消息量。 服务端过滤：在服务端通过SQL92方式过滤，需要RocketMQ服务端支持。

本文介绍如何保存快速查询条件。 若您需要重复高频使用某一个关键字或查询语句进行日志检索时，您可以将其设置为快速查询语句，通过保存的快速查询语句，可实现对日志的快速执行查询和分析操作。 操作步骤 1. 登录云日志服务控制台。 2. 进入目标日志单元的查询页面。 3. 输入查询分析语句后，点击输入框右侧的按钮。 4. 在弹窗中，输入快速查询名称，点击确定。即可完成快速查询创建。 5. 创建完成后，在查询页面左侧，点击“快速查询”，即可查看当前日志项目下已创建的所有快速查询。 6. 点击快速查询名称，即可根据查询条件查询当前日志。

节点池计费 节点池本身不收费，但节点池使用的节点实例等由对应的云产品计费。 节点池相关术语 术语 描述 伸缩组 节点池当开启自动弹性伸缩时，底层使用伸缩组管理节点，一个伸缩组包含节点规格及弹出的实例集合，用于自动扩展和管理用途。 伸缩配置 伸缩组中的配置被称为伸缩配置。 伸缩活动 节点池的每次扩缩容、添加节点、移除节点都会触发伸缩活动。触发伸缩活动后，所有扩张和收缩动作都交由系统自动完成，并留下相关记录，您可以通过节点池的伸缩活动查看节点池的历史伸缩活动记录。 节点池生命周期 状态 说明 已激活 成功创建节点池。 扩容中 扩容或添加节点池节点中。 缩容中 移除节点池节点中。 已删除（该状态用户不可见） 成功删除节点池。

本节介绍了GeminiDB Redis的实例回收站使用须知。 GeminiDB Redis支持将退订后的包年包月实例和删除的按需实例，加入回收站管理。您可以在回收站中重建实例恢复数据。 使用须知 回收站策略机制默认开启，且不可关闭，默认保留天数为1天，该功能免费。 目前回收站允许加入100个实例，超过该配额的实例将无法添加至回收站中。 当实例存储空间满时，删除之后的实例不会放入回收站。 设置回收站策略 注意 修改回收站保留天数，仅对修改后新进入回收站的实例生效，对于修改前已经存在的实例，仍保持原来的回收策略，请您谨慎操作。 1、登录云数据库GeminiDB控制台。 2、在“回收站”页面，单击“回收站策略”，设置已删除实例保留天数，可设置范围为1~7天。单击“确定”，完成设置。

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "200", "error": "CFW0000", "message": "成功!", "returnObj": { "createTime": "20241024T01:44:12Z", "updateTime": "20241024T01:44:12Z", "alarmName": "100.126.9.172192.168.10.5POP3WeakPasswordLoginAttempt(TCP)告警", "attackLevel": "MIDDLE", "alarmStatus": "ALERT", "attackIp": "100.126.9.172", "affectedIp": "192.168.10.5", "triggerCount": 1, "attackType": "InformationDisclosureWeakPassword", "sourceType": "BASE", "ruleId": 43049, "ruleName": "POP3WeakPasswordLoginAttempt(TCP)", "attackDirection": "1", "attackApp": "ftp", "affectedHostName": "cfwclient001", "hostType": "云主机", "vpcId": "vpcw2yk897lsx", "vpcName": "vpclwj", "publicIp": "100.126.8.146", "firewallId": "c7cfe772fd3f482da630132e6548a19a", "isHandled": false, "isProtected": true }, "statusCode": "800" } 状态码 请参考 状态码 错误码 请参考 错误码

可通过客户端登录配置登录后无操作的时间范围，超时后自动退出。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“客户端登录配置”模块的右侧，单击“编辑”，进入“客户端登录配置”页面。 4、填写登录后长久不操作空闲的超时时间，及选择SSH登录方式， 参数名称 参数说明 取值样例 登录超时 设置登录成功后无操作的时间。 有效值区间为143200。当超过设定时长无操作时，再次操作需要重新登录，默认值为30。 30 SSH公钥登录 超时后是否使用SSH公钥登录，默认开启。 SSH密码登录 超时后是否使用SSH密码登录，默认开启。 5、单击“确定”，完成配置。

针对DDoS高防（边缘云版）续费情况，为您进行说明，请在续费前务必阅读以下内容。 规则说明 1. 只有通过实名认证的客户，才可以执行续订操作。 2. 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 3. 已退订或释放的资源不可续费。 4. 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 5. 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。

访问资产提示“登录设备失败，设备账号或密码错误”，如果使用托管的账号密码，则需联系资产管理员，确认托管的账号和密码是否正确。 资产管理员需要将正确的资产账号和密码重新添加到资产，运维用户才能正常登录设备运维。 操作步骤 1.管理员登录云堡垒机实例控制台，访问角色切换为管理角色。 2.进入 资产管理>资产 页面，按资产IP或资产名搜索需要修改资产账号密码的资产。 3.点击资产数据操作栏【编辑】，在账号项选择需要修改的资产账号点击【编辑】。 4.进入 资产管理>资产账号 页面，选择需要修改的资产账号点击【编辑】。 5.更新资产账号、密码及应用的协议。

参数名称 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 必选参数。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。一个区域内有多个可用区，一个可用区发生故障后不会影响同一区域内下的其它可用区。 此处建议您同时选择两个可用区，表示企业路由器将同时部署在这两个可用区内，属于双活模式，为业务容灾提供可靠保障。 两个可用区均部署企业路由器时，可用区内流量遵循本地优先原则，即优先访问同一个可用区内的企业路由器，减少时延，提升访问速率。 可用区1 可用区2 名称 必选参数。 输入企业路由器的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 ertest01 ASN 必选参数。 自治系统（AS）是一个实体管辖下拥有相同选路策略的IP网络。在边界网关协议（BGP）网络中，每个AS都被分配一个唯一的自治系统编号 (ASN)，用于区分不同的AS。 您可以使用默认ASN，也可以在6451265534或42000000004294967294范围内指定专用ASN。 对于同一个区域内的组网，您可以将其视为一个自治系统，企业路由器的ASN使用默认或者在指定范围内选择任意一个即可。 64512 默认路由表关联 可选参数。 默认开启。 为了简化您后续的网络配置，此处建议您开启“默认路由表关联”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认关联路由表。 默认关联路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认关联路由表。 设置完默认关联路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认关联路由表中创建关联。 开启 默认路由表传播 可选参数。 默认开启。 为了简化您后续的网络配置流程，此处建议您开启“默认路由表传播”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认传播路由表。 同时开启“默认路由表关联”和“默认路由表传播”功能，则默认关联路由表和默认传播路由表为同一个路由表，均为系统创建的名称为“defaultRouteTable”的路由表。 默认传播路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认传播路由表。 设置完默认传播路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认传播路由表中创建传播。 开启 自动接受共享连接 可选参数。 作为企业路由器的所有者，您可以将企业路由器共享给其他帐号的接受者，接受者可以在共享企业路由器中创建连接。 关闭该选项，接受者创建的连接需要所有者审批，所有者接受后才会创建。 开启该选项，接受者创建的连接会被自动接受，无需所有者审批。 关闭 企业项目 必选参数。 创建企业路由器时，需要将企业路由器加入已有的企业项目内。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 标签 可选参数。 您可以在创建企业路由器的时候为企业路由器绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 “标签键”：test “标签值”：01 描述 可选参数。 您可以根据需要在文本框中输入对该企业路由器的描述信息。

告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 当出现告警时，可以参考本章节查看具体云资源的告警记录详情。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击“告警 > 告警记录”，进入“告警记录”界面。 在告警记录页面，可查看近7天所有告警规则的状态变化。 说明 在“告警记录”列表右上角可选择日历，查看近30天内的任意时间段内的告警记录。 在“告警记录”列表右上角可选择查看“所有状态”、“告警级别”、“所有资源类型”、“告警名称”的历史告警。 4. 单击待查看的告警规则名称，进入告警规则详情页面，页面下方呈现了该告警规则近30天内的“告警记录”列表。 在告警记录列表中，用户可查看对应时间内资源是否有异常并进行相应处理。 说明 正常状况下，由于告警需要计算触发，告警产生时间可能略晚于最新的数据触发时间几秒。 如果已有监控数据，创建或修改告警规则，导致触发告警，告警产生时间以触发告警的操作时间（创建告警规则或修改告警规则的时间）为准。

本节主要介绍如何管理VPC。 网络ACL是对一个或多个子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。添加VPC时会自动添加默认IP地址0.0.0.0/0。 如果已经在VPC控制台删除文件系统绑定的VPC，该VPC在文件系统绑定的VPC列表下可见且授权的IP地址/地址段为“激活”状态，但此时该VPC已无法进行使用，建议将该VPC从列表中删除。 更多关于VPC的信息请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，选择“弹性文件服务”。 2. 在文件系统列表中单击目标文件系统名称，进入授权VPC界面。 3. 如果没有可用的VPC，需要先申请VPC。可以为文件系统添加多个VPC，单击“添加VPC”，弹出“添加VPC”对话框。如图所示。 可以在下拉列表中选中多个VPC。 4. 单击“确定”，完成添加。添加成功的VPC会出现在列表中，添加VPC时会自动添加默认IP地址0.0.0.0/0，默认读写权限为“读/写”，默认用户权限为“noallsquash”，默认用户root权限为“norootsquash”。 5. 在VPC列表下可以看到所有添加的VPC的信息，参数说明如表所示。 参数 说明 :: 名称 已添加的VPC的名称，例如：vpc4040。 授权IP数量 已经添加的IP地址或IP地址段的个数。 操作 包含“添加”和“删除”操作。“添加”即添加授权的IP地址，包括对授权的IP地址、读/写权限、用户权限、用户root权限及优先级的设置，“删除”即删除该VPC。 6. 单击VPC名称左边的，可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列，单击“添加”，弹出“添加授权地址”的弹窗，如图所示。可以根据参数说明如表所示完成添加 参数 说明 :: 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224239开头的IP地址或地址段是属于D类地址，用于组播；以240255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址，如：10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段，如192.168.1.0192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 读或写权限 分为读/写权限和只读权限。默认为“读/写”。 用户权限 分为allsquash和noallsquash。默认为“noallsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 用户root权限 分为rootsquash和norootsquash。默认为“norootsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 优先级 优先级只能是0100的整数。0表示优先级最高，100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限，存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。例如：用户在执行挂载操作时的IP地址为10.1.1.32，而在已经授权的IP地址/地址段中10.1.1.32（读写）优先级为100和10.1.1.0/24（只读）优先级为50均符合要求，则用户权限会使用优先级为50的10.1.1.0/24（只读）的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32，在无其他授权优先级的情况下，则将会使用优先级为50的10.1.1.0/24（只读）的只读权限。 说明 属于VPC A中的弹性云主机IP地址可以被成功添加至VPC B的授权IP地址内，但该云主机无法挂载属于VPC B下的文件系统。弹性云主机和文件系统所使用的VPC需为同一个。

本文介绍配置安全组及其规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 安全组实践建议 云上的安全组提供类似虚拟防火墙功能，用于设置单台或多台ECS实例的网络访问控制，是重要的安全隔离手段。创建ECS实例时，您必须选择一个安全组。您还可以添加安全组规则，对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。 在使用安全组前，您应先了解以下实践建议： 最重要的规则：安全组应作为白名单使用。 开放应用出入规则时应遵循最小授权原则。例如，您可以选择开放具体的端口，如80端口。 不应使用一个安全组管理所有应用，因为不同的应用存在不同的访问控制需求。对于分布式应用来说，不同的应用类型应该使用不同的安全组，例如，您应对Web层、Service层、Database层、 Cache层使用不同的安全组，暴露不同的出入规则。 避免为每台实例单独设置一个安全组，控制管理成本。 尽可能保持单个安全组的规则简洁。因为如果单个安全组规则过多，增加或者删除规则就变得很复杂，就会增加管理的复杂度。 天翼云的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则，您应先克隆一个安全组，再在克隆的安全组上进行调试，避免直接影响线上应用。（部分资源池支持，可提工单申请克隆功能。） 安全组TCP、UDP报文分片后，分片不带有端口信息，需要将端口范围指定为165535，不进行端口过滤。目前仅合肥2支持UDP大包分片后指定端口过滤功能，如有UDP大包分片，需要指定端口号过滤的需求，可联系客户经理开通此功能。 如果您想实现在不同安全组的资源之间的网络互通，您可使用安全组方式授权。同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。

本文介绍流量镜像产品的使用限制。 为保证流量镜像产品正常使用，在使用之前，请您务必仔细阅读以下使用限制。 配额限制 资源 默认配额 提升配额 单帐号单资源池可创建的筛选条件的数量 10 提交工单 单帐号单资源池可创建的镜像会话的数量 10 提交工单 单个筛选条件支持的入向筛选规则的数量 10 提交工单 单个筛选条件支持的出向筛选规则的数量 10 提交工单 单个镜像会话支持加入的镜像源的数量 部分资源池支持10个； 部分资源池支持1个； （具体以控制台为准） 提交工单 单个镜像会话支持加入的镜像目的数量 1 无法提升 单个筛选条件支持关联的镜像会话数 10 提交工单 同一个镜像目的资源支持关联的镜像会话数 当镜像目的为弹性网卡时，默认配额为10； 无法提升 使用限制 账户与地域 一个会话的源和目的必须归属同一个租户的同一个区域（Region）。 在同账号同地域下，镜像源和镜像目的可以配置在同一个VPC内，也可以跨VPC配置。 镜像源和镜像目的 一个网卡不能既作镜像源又作镜像目的。 一个镜像源的报文只能被镜像一次，且只能发送给一个镜像目的。 流量镜像的报文采用标准的VXLAN报文格式封装，当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时，可能导致镜像报文被丢弃。为了防止报文被丢弃，建议您在IPv4场景下，设置弹性网卡的MTU值比链路支持的MTU值至少小50字节。 镜像目的收到的被镜像的报文长度受限于链路最小MTU值，请保证镜像报文长度不超过链路MTU长度（一般默认1500）。 镜像源支持云主机绑定的弹性网卡，部分规格弹性裸金属绑定的弹性网卡（弹性裸金属网卡目前属于内测阶段，如有需求，请提工单申请，支持的规格为：physical.s5se.） 镜像目的支持云主机绑定的弹性网卡，部分规格弹性裸金属绑定的弹性网卡、性能保障型负载均衡（性能保障型负载均衡及弹性裸金属网卡目前属于内测阶段，如有需求，请提工单申请，支持的弹性裸金属规格为：physical.s5se.）

本节主要介绍包周期实例转按需计费 。 GeminiDB Influx支持将包周期（包年/包月）实例转为按需计费实例。对于到期后不再长期使用资源的包周期实例，可以选择转按需操作，到期后将转为按需计费实例。 使用须知 包周期实例状态为“正常”时才能转按需计费。 目前仅集群版本支持此功能，单节点暂不支持。 单个包周期实例转按需 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，在操作列单击“转按需”，进入转按需页面。 图1 包周期转按需 4. 在转按需页面，核对实例信息无误后，单击“转按需”。包周期实例将在到期后转为按需计费实例。 注意 转按需成功后，自动续费将会被关闭，请谨慎操作。 5. 转按需申请提交后，在目标实例的“计费方式”列，会提示实例到期后转按需。 6. 如需取消转按需，您可以在费用中心的“续费管理”页签，在目标实例的“操作”列，选择“更多 > 取消转按需”。 7. 在弹出框中，单击“确定”，取消转按需申请。 包周期实例批量转按需 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，勾选目标实例，单击实例列表上方“转按需”。 图2 包周期批量转按需 4. 在弹出框中单击“是”，进入“包周期转按需”页面。 5. 在转按需页面，核对实例信息无误后，单击“转按需”。包周期实例将在到期后转为按需计费实例。 注意 转按需成功后，自动续费将会被关闭，请谨慎操作。 6. 转按需申请提交后，在目标实例的“计费方式”列，会提示实例到期后转按需。 7. 如需取消转按需，您可以在费用中心的“续费管理”页签，在目标实例的“操作”列，选择“更多 > 取消转按需”。 8. 在弹出框中，单击“确定”，取消转按需申请。

本文介绍如何创建容器应用。 应用指运行在CCE上的一组实例。创建一个完整的容器应用，可以通过“选择开源镜像”、“上传并选择私有镜像”两种方式实现，后续还将支持通过“应用模板”进行应用创建。本节指导用户通过容器镜像创建无状态类型的容器应用。 操作前提 已创建集群并添加节点。 若用户需要使用私有镜像作为镜像源，需要提前制作好私有镜像并将其上传到仓库中。 操作步骤 1.选择资源池，如【杭州2】，进入云容器引擎平台页面； 2.单击左侧导航栏的【工作负载】>【无状态】，进入无状态应用列表； 3.在【无状态】页下，单击【创建应用】按钮，进入应用创建页面； 4.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表，输入相应参数，其它保持默认： 参数 说明 应用名称 nginx 部署集群 选择所创建的集群 实例数量 1 命名空间 default 2）单击【下一步】，进入容器设置页面>单击【选择镜像】按钮，弹出镜像选择框>在【天翼云官方镜像】页签中选择nginx的镜像，勾选后单击【确定】>选择镜像版本latest，容器名称及规格保持默认，其余配置可跳过>点击【下一步】，进入【添加服务】设置页面； 3）单击【添加服务】，参照下表，输入应用访问配置参数。本例中，将 nginx 应用设置为被集群内访问，参数具体填写内容如下表展示： 参数 说明 服务名称 输入应用发布的可被同个集群内的其他应用访问的名称，设置为：nginx 访问方式 集群内访问 容器端口 容器中应用启动监听的端口，nginx 镜像请设置为：81 访问端口 设置为8080 协议 TCP 4）单击【下一步】，高级设置可按需配置>单击【提交】,等待应用创建完成； 5）应用创建完成后，在应用管理列表中可查看到运行中的应用。 本章节以“天翼云官方镜像”的方式创建应用为例，来创建一个 nginx 容器应用。nginx 是一款轻量级的 Web 服务器，您可通过云容器引擎 CCE 快速创建 nginx 容器应用，搭建 nginx web 服务器。 说明： 节点和应用运行过程中会产生费用，建议您参照本章节创建应用后，删除应用和节点，避免费用产生。本章节执行完成后，可成功访问 nginx 的网页，如下图：