本文为您介绍如何使用模板创建一个高可用架构的操作场景及操作步骤。 操作场景 本示例以创建一个弹性负载均衡为例，介绍如何使用模板创建一个高可用架构。 不同架构内设云资源不同，本文及供参考。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 模板管理。 4. 在模板管理页面，单击创建模板。 5. 创建高可用架构的.tf模板示例如下，请参考文档创建模板完成模板配置。 java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" //选定资源池 azname "cnhuadong1jsnj1Apublicctcloud" //选定可用区 } variable "instancename" { //定义变量：云主机名称 type string default "tfecsha" description "Name of EC instances to create" } variable "vpcname" { //定义变量：虚拟私有云名称 type string default "tfvpcha" description "Name of vpc to create" } variable "eipname" { //定义变量：弹性IP名称 type string default "tfeipha" description "Name of eip to create" } variable "elbname" { //定义变量：弹性负载均衡名称 type string default "tfelbha" description "Name of elb to create" } variable "instancecount" { //定义变量：创建弹性云主机数量，默认为1个 type number default 1 description "Number of EC instances to create" } variable "password" { //定义变量：云主机密码 type string sensitive true } resource "ctyunvpc" "vpctest" { //定义vpc资源：vpctest name var.vpcname cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } resource "ctyunsubnet" "subnettest" { //定义子网资源：subnettest vpcid ctyunvpc.vpctest.id name "tfvpcha" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8", "8.8.4.4" ] enableipv6 true } resource "ctyuneip" "eiptest" { //定义弹性IP资源：eiptest name var.eipname bandwidth 1 cycletype "ondemand" demandbillingtype "bandwidth" } data "ctyunzones" "test" { } locals { az1 data.ctyunzones.test.zones[0] az2 data.ctyunzones.test.zones[1] } output "az1" { value local.az1 } data "ctyunimages" "imagetest" { //确定云主机镜像 azname local.az1 name "CTyunOS 22.06 64 位" visibility "public" pageno 1 pagesize 10 } data "ctyunecsflavors" "ecsflavortest" { //确定云主机参数 azname local.az1 cpu 2 ram 4 arch "x86" series "C" type "CPUC7" } resource "ctyunecs" "ecstest" { //定义云主机资源：ecstest count var.instancecount instancename "${var.instancename}${count.index + 1}" displayname "${var.instancename}${count.index + 1}" flavorid data.ctyunecsflavors.ecsflavortest.flavors[0].id imageid data.ctyunimages.imagetest.images[0].id isdestroyinstance true systemdisktype "sata" systemdisksize 40 vpcid ctyunvpc.vpctest.id password var.password azname local.az1 cycletype "year" cyclecount 1 subnetid ctyunsubnet.subnettest.id }

本章节介绍API网关的消费者(应用)管理功能 应用列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 创建应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击创建应用按钮，填写应用名称、AppKey、AppSecret、AppCode、描述等信息；AppKey、AppSecret、AppCode为空时，将自动生成； 编辑应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 选择某个应用，点击应用的编辑按钮 ，可修改应用的名称和描述信息；确定后完成编辑； 查询应用信息 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击应用名称，进入应用详情页，可以查看当前应用有哪些授权的路由、API，查看应用的AppKey、AppSecret，支持重置AppSecret、AppCode； 添加应用授权 应用授权需要在路由或者API的视角下完成，且只有路由、API的认证方式为APP时才允许进行授权操作。 注意 ：Mock路由中对应用设置过期时间的使用限制参见云原生网关常见问题说明

此小节介绍云堡垒机的应用运维。 运维用户获取应用发布资源访问操作权限后，即可在应用运维列表查看已授权资源，并设置资源标签。 查看应用运维列表并设置资源标签 约束限制 每个用户可自定义资源标签，资源标签仅能个人帐号使用，不能与系统内用户共用。 前提条件 已获取“应用运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 操作步骤 1 登录云堡垒机系统 2 选择“运维>应用运维”，进入应用运维列表页面。 3 查询应用资源。 快速查询：在搜索框中输入关键字，根据自动识别、应用名称、应用地址等快速查询资源。 4 添加标签。 选择目标资源，在相应“标签”列单击，弹出标签编辑窗口。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，返回运维列表，即可查看已添加的标签。 5 批量添加标签。 选择多个目标资源，单击列表左下角“添加标签”，弹出标签编辑窗口。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，返回运维列表，即可查看已添加的标签。 6 删除标签。 选择一个或多个目标资源，单击列表左下角“删除标签”，弹出删除标签确认窗口。 确认信息无误后，单击“确认”，返回运维列表，标签已删除。 通过Web浏览器登录应用资源进行运维 通过Web浏览器登录应用资源，提供“协同分享”、“文件传输”、“文件管理”等功能。用户在应用上执行的所有操作，被云堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者，协助者通过链接登录创建者的会话中参与运维，实现运维协同操作。 “文件管理”指参与会话的用户获取操作权限后，可对云主机和主机网盘中文件或文件夹进行管理。 支持新建文件夹。 支持修改文件或文件夹名称。 支持批量删除。 “文件传输”指参与会话的用户获取操作权限后，可对云主机和主机网盘中文件进行上传或下载。 支持上传/下载文件。 支持上传文件夹。 目标地址为“主机网盘”，支持上传多个文件或一个文件夹到主机网盘，支持从主机网盘下载文件到本地保存。 本小节主要介绍如何通过Web浏览器登录应用资源，以及应用运维会话窗口操作说明。

OIDC策略配置 前置条件 1. 部署好身份认证服务（IDP） 2. 在IDP中为云原生网关申请客户端（clientid，client secret等） OIDC策略配置 在 安全认证 > 认证鉴权菜单下，选择创建鉴权，鉴权类型选择OIDC，填写相关参数即可；参数说明如下 参数 说明 clientId 云原生网关作为OIDC客户端的clientid。 clientSecret 云原生网关作为OIDC客户端的client secret。 discovery OIDC配置发现端点，通常以 .wellknown/openidconfiguration 的形式附加在 OpenID Provider 的基础 URL 上。 realm 对于一些IDP实现（如Keycloak），realm代表一个虚拟的边界或环境，每个realm内有自己独立的配置，用于实现逻辑上的隔离。 redirectUri IDP认证成功后重定向的uri。 scope IDP中定义的当前客户端（云原生网关）可以访问的范围，比如openid scope 表示请求用户的基本身份信息，而 profile 和 email 则分别表示请求更详细的用户资料和电子邮件地址。 bearerOnly 打开该选项时，网关只会对请求中的鉴权信息做校验。 sslVerify 网关是否校验IDP的证书信息。 setAccessTokenHeader 是否在转发到后端的请求头部中设置Access Token。 accessTokenInAuthorizationHeader setAccessTokenHeader为true时生效，如果打开则在Authorization头部设置Access Token，否则在XAccessToken头部设置Access Token。 setIdTokenHeader 打开时将在转发给后端的XIDToken头部设置id token。 setUserInfoHeader 打开时将在转发给后端的XUserinfo头部设置user info。 logoutPath 登出路径。 timeout 网关和IDP通信的超时时间。 introspectionEndpoint token校验端点。 introspectionEndpointAuthMethod 请求token校验端点的方法。 publicKey token校验的公钥。 tokenSigningAlgValuesExpected token签名校验算法。

本文介绍网站性能测试的最佳实践。 天翼云通用型S6、计算增强型C6 等新一代云主机上提供超高网络性能，您可通过本实践提供的 netperf 和 DPDK 两种网络性能测试方法，进行云主机高吞吐网络性能测试。 推荐选择 netperf 方法进行测试，netperf 为通常使用的测试方法，可满足大多数测试场景。但当云主机配置较高（pps 超过1000万且带宽大于50Gbps）时，netperf包含云主机机内核协议栈的完整处理路径对网络性能损耗较大，而 DPDK 可屏蔽虚拟机内核协议栈的差异，获取虚拟机网卡的网络性能，此时可选择 DPDK 方法进行测试。 netperf测试 工具介绍 Netperf HP 开发的网络性能测量工具，主要测试 TCP 及 UDP 吞吐量性能。测试结果主要反应系统向其他系统发送数据的速度，以及其他系统接收数据的速度。 SAR 用于监控网络流量，运行示例如下： plaintext sar n DEV 1 02:41:03 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:04 PM eth0 1626689.00 8.00 68308.62 1.65 0.00 0.00 0.0002:41:04 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.0002:41:04 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:05 PM eth0 1599900.00 1.00 67183.30 0.10 0.00 0.00 0.0002:41:05 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 sar n DEV 1：该命令每秒钟报告一次网络设备的性能统计信息

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

本文为您介绍通过IAM用户控制资源访问的具体操作。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云服务器ECS资源的访问。 操作步骤 创建IAM子用户 具体操作，请参见统一身份认证 IAM。 创建自定义策略 天翼云提供了访问云服务器ECS资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证 IAM。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version标识策略结构的版本号，目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 1. 脚本配置策略示例一：为IAM子用户配置云主机查看者权限。 2. 脚本配置策略示例二：为IAM子用户配置云主机所有操作权限，以及vpc的所有操作权限（代表取所有值）。

天翼云控制台配置 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，查看下一代防火墙所在VPC。 3. 在防火墙同VPC内新建子网。新建子网详细操作请参见创建子网。 说明 单台防火墙需要新增至少3张网卡，一张trust、一张untrust、一张dmz的VRRP心跳口专用网卡。 结合初始创建防火墙时自带的主网卡作为M口管理，单台设备共计需要4张网卡。 4. 为防火墙设备绑定网卡。 说明 防火墙云主机绑定网卡时所选子网先后顺序需保持一致，为云主机绑定网卡详细操作请参见 若绑定网卡时遇到问题，可联系天翼云工作人员。 5. 申请虚拟IP地址并绑定至防火墙设备的网卡。 说明 请按照以下步骤申请并绑定虚拟IP： 1. 共需根据防火墙子网所在网段购买三个虚拟IP，基于步骤3所创建的三个子网进行申请虚拟地址。申请虚拟IP详细操作请参见 2. 将申请的虚拟地址绑定至新建的弹性网卡，详细操作请参见 3. 将新建的网卡两两绑定至虚拟IP。 4. 绑定完成后，需重启两台添加了网卡的防火墙云主机，让设备重新识别网卡。 若绑定虚拟IP时遇到问题，可联系天翼云工作人员协助处理。

本节主要介绍了Windows操作系统云主机安装Tesla驱动的流程。 以下操作以Windows Server 2016 Standard 64bit操作系统，GPU实例安装Tesla驱动为例。 1. 登录云主机。 2. 下载NVIDIA驱动包。 单击NVIDIA驱动（Official Drivers NVIDIA）下载根据实例的类型，选择驱动版本。 图 选择驱动类型（Windows） 3. 根据需求选择驱动版本，本节操作以安装Tesla 425.25为例。 图 选择驱动版本（Windows） 4. 单击需要下载的驱动，进入“TESLA DRIVER FOR WINDOWS”界面，单击“DOWNLOAD”。 5. 单击“Agree & Download”，下载安装包。 图 下载NVIDIA驱动安装包 6. 双击驱动安装驱动，单击“运行”。 图 运行NVIDIA驱动安装程序 7. 选择安装路径，单击“OK”。 图 选择NVIDIA驱动安装路径 8. 根据安装提示完成NVIDIA程序的安装。 图 完成NVIDIA驱动的安装 9. 重启云主机。 10. 检查驱动是否安装成功。 a. 进入“设备管理器”，查看“显示适配器”。 图 显示适配器 b. 打开云主机cmd窗口，执行以下命令： cd C:Program FilesNVIDIA CorporationNVSMI nvidiasmi 如果回显信息中包含了已安装的驱动版本，说明驱动安装成功。 图 查看NVIDIA驱动安装版本

本文将向您介绍如何配置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版级以上版本，支持配置规则白名单功能 操作步骤 1、登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】 2、识别出现误报的攻击，找到其攻击日志，并查看详情 3、点击添加白名单，将自动跳转至【域名规则】【规则白名单】【新增白名单】页面 4、边缘云WAF将自动识别您需要加白所在域名以及规则ID，您只需要配置白名单的生效范围即可。粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

本节主要介绍弹性文件服务的规格类常见问题 在文件系统中存放的单个文件最大支持多少？ SFS支持存放最大为240TB的单个文件。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB等类型的SFS Turbo文件系统支持存放最大为320TB的单个文件；标准型、标准型增强版、性能型、性能型增强版等类型的SFS Turbo文件系统支持存放最大为16TB的单个文件。 弹性文件服务支持哪些访问协议？ SFS容量型支持标准的NFSv3协议和CIFS协议；SFS Turbo支持标准的NFSv3协议。 每个帐户最多可以创建多少个文件系统？ SFS容量型文件系统支持同时创建多个。当需要创建多于20个SFS容量型文件系统时，可“提交工单”申请扩大配额。 SFS Turbo文件系统单次只能创建一个。当需要创建多于20个SFS Turbo文件系统时，可“提交工单”申请扩大配额。 一个文件系统最多支持同时挂载到多少台云服务器上？ 一个SFS容量型文件系统最多支持同时挂载到10000台云服务器上。 一个SFS Turbo文件系统标准型、标准型增强版、性能型、性能型增强版最多支持同时挂载到500台云服务器上。 一个SFS Turbo文件系统20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB最多支持同时挂载到3000台云服务器上。

资源 资源说明 成本说明 VirtualBox工具 VirtualBox是一款开源免费跨平台的虚拟机软件。 VirtualBox官方下载地址： 免费 UVP VMtools工具 UVP VMtools是一个集成Xen前端驱动和uvpmonitor（虚拟机监控程序）的工具。 它专为在配备基于32位x86的虚拟机（VM）上使用而设计。 获取方式： 免费 ISO镜像文件 用于为新创建的空虚拟机安装操作系统，需要用户自行提供。 文件名称：Windowsserver2008r2.iso CloudbaseInit工具（可选） 为了保证使用生成的镜像创建的新云主机可以自定义配置（例如修改云主机密码），建议您安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 获取方式： 免费 一键式重置密码插件（可选） 为了保证使用生成的镜像创建的新云主机可以实现一键式重置密码功能， 建议您安装密码重置插件CloudResetPwdAgent，可以应用一键式重置密码功能，给云主机设置新密码。 获取方式： 免费

功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云服务器进行访问。 弹性云主机必须处于SQL Server实例所属安全组允许访问的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库版本 支持以下版本： 2022 企业版 2022 标准版 2022 WEB版 2019 企业版 2019 标准版 2019 WEB版 2017 企业版 2017 标准版 2017WEB版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 数据库的超级管理员权限 超级管理员权限一旦开启无法关闭。且一旦实例创建过超级管理员账号后，将不再享受SLA保障。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。部分参数可能要重启才能生效，请谨慎操作。 搭建数据库复制 SQL Server本身提供主备复制架构的双节点集群，无需用户手动搭建。主备节点间数据复制方式默认使用异步复方式，暂不支持修改。其中备节点不对用户开放，应用不可直接访问。 重启实例 无法通过命令行重启，必须通过SQL Server服务的管理控制台操作重启实例。

本节介绍如何为服务器安装/卸载服务器安全卫士Agent。 服务器安全卫士Agent是安装在云主机上的一款应用软件，用于检测云主机中存在的安全风险。 安装Agent后，才能使用服务器安全卫士的防护能力，包括资产管理、风险管理、入侵检测、网页防篡改等。 如果不安装Agent，将无法对云主机进行安全检测。 使用限制 目前支持安装Agent的操作系统请参见支持的操作系统。 注意 如果您的服务器操作系统不在支持范围内，安装Agent后可能存在兼容性问题，无法保证能正常使用服务器安全卫士（原生版）的防护能力。 如果您的服务器上已安装第三方安全软件，可能会导致服务器安全卫士的Agent无法正常安装和升级 ，建议您先关闭或卸载安全软件后再安装Agent。 安装Agent 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 点击“安装Agent”，弹出安装Agent窗口，按需选择Linux和Windows系统的安装命令。 Linux主机安装Agent 1. 选择Linux系统，复制安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 说明 手动安装Agent后，等待5分钟左右会自动连接，请耐心等待（无需重启服务器）。

本文旨在为您介绍如何在云原生API网关中管理消费者并进行授权管理。 创建消费者 云原生API网关通过消费者机制启用认证能力，实现访问权限控制。每种消费者均可独立设置 JWT、HMAC、KEY 或 BASIC 认证策略，您可根据业务安全需求灵活选择合适的鉴权方式，确保API访问既安全又高效。具体详情，请参见 创建消费者。 启用消费者 消费者只有在启用状态时才能生效。具体详情，请参见 启用消费者。 停用或删除消费者 如您需要停用或删除消费者。具体详情，请参见 停用或删除消费者。 消费者授权管理 每个消费者均可配置独立的身份标识和授权策略，确保仅通过认证的请求才能访问对应资源。云原生API网关支持在路由、接口、API 及实例多个维度配置消费者授权机制，实现细粒度的访问控制。具体详情，请参见 消费者授权管理。

发布路由 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Agent API"，进入目标API页面。 4. 在路由列表页面选择目标未发布路由，单击页面右侧"发布"按钮，弹框中单击确定，即可对已创建的路由进行发布。 下线路由 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Agent API"，进入目标API页面。 4. 在路由列表页面选择目标已发布路由，单击页面右侧"下线"按钮，弹框中单击确定，即可完成路由下线。 删除路由 说明 路由需先下线再删除。 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Agent API"，进入目标API页面。 4. 在路由列表页面选择目标路由，单击页面右侧"删除"按钮，弹框中单击确定，即可完成路由删除。

本节介绍了集群退订的用户指南。 操作场景： 之前已创建容器集群，退订不需要使用的集群。 操作步骤 1、登录云容器引擎控制台，在左侧导航栏选择“集群”菜单，打开集群列表页面。 2、在集群列表页面，找到对应的集群实例，点击“退订”，进行实例的退订。 常见问题 如何防止误删除集群 容器提供了集群删除保护功能，为防止误删除集群，您可以开启集群删除保护开关： 1、进入云容器引擎控制台页面，找到对应的集群实例，点击“集群名称”，切换到“基本信息”； 2、开启“集群删除保护”开关，可以保护集群误删除： 3、此时若进行退订集群，将弹出提示： 如何关闭集群删除保护开关 进入云容器引擎控制台页面，找到对应的集群实例，点击“集群名称”，切换到“基本信息”，关闭“集群删除保护”开关。

如何清理点播实例。 前提条件 已开通云点播产品。 至少创建了一个点播实例。 操作步骤 当您需要彻底清空点播实例存储的媒体数据和配置信息时，您可以进行如下操作： 进入云点播控制台，选择左侧导航栏的【实例管理】可进入区域管理页面。通过点击对应点播实例操作栏的【清空】按钮，按照提示内容进行操作即可。 由于清理操作涉及用户敏感信息清理，且操作过程不可逆，因此需要用户使用天翼云注册手机号码进行身份验证，请保持手机通讯畅通。 注意 1. 以上清理操作仅涉及到该点播实例下相关三个存储桶数据及媒资数据信息的清理。 2. 若用户同时开通了多个点播实例，每个区域需要分别清理。 3. 在点播实例清理过程中，请勿使用提交新的媒体处理任务，否则可能造成清理不彻底。 4. 云点播默认需保持至少一个点播实例。如您对点播实例执行了清空操作，并不会自动注销删除该实例。但不会影响您后续产品注销服务。

本文主要介绍验证数据库备份结果 (Linux)。 使用自定义脚本实现数据库备份完成后，可以通过如下操作验证应用一致性备份结果是否成功。本章节以MY SQL数据库为例进行验证。 步骤1、登录MY SQL数据库，创建新的数据库。 步骤2、创建数据库成功后，创建存储过程，可以参考下图。 创建存储过程 步骤3、进入服务备份控制台，对目标弹性云主机创建数据库备份，并勾选数据库备份。 步骤4、待备份完成后，进入/home/rdadmin/Agent/log/rdagent.log，查看冻结、解冻日志，确定冻结解冻时间。 步骤5、使用新创建的数据库备份恢复目标弹性云主机。恢复成功后，登录云主机和数据库，查看表中最后一条插入数据对应的时间。 步骤6、对比步骤5日志显示的VSS冻结成功时间和步骤4的时间。冻结成功之前会停止插入数据，所以步骤5的时间比步骤4早。若步骤5的时间比步骤4早，则表示引用一致性备份成功。

本文介绍查询与分析常见问题。 日志从产生到可查询的延时是多久？ 日志从产生到可查询的延时约为30秒 。 如何完成双重条件查询？ 云日志服务支持多条件进行查询，如在搜索框中输入以下查询语句。详情请查看日志查询语法。 host: test and latency > 100 如何进行上下文查询？ 当您检索到日志后，在日志检索页面，找到目标日志，并点击上下文检索图标，即可查看日志上下文。详细步骤请查看上下文查询。 支持哪种统计分析场景？ 云日志服务支持以下统计分析场景。 基础分析 字段筛选&过滤 基础统计 指标统计 分组统计 高级统计 日志占比 TopN 时间趋势 如何手动删除日志？ 不支持手动删除日志。系统会根据那您在创建日志单元时设置的日志存储时间，自动清理过期的日志数据。 配置日志接入后多久有日志？ 在云日志服务控制台的“日志接入”页面配置接入后，进入日志检索页面。约等待1~5分钟，即可在“原始数据”页面查看到上报的原始日志。

功能名称 功能描述 配置方式 配置日志 将日志对接LTS，并创建日志组和日志流。 更改存储时长 （可选）默认存储日志的时间为7天，存储时间可以在1～365天之间进行设置。 日志搜索与分析 （可选）通过合理的日志收集、高效的搜索方法和专业的分析工具，实现对系统或应用的全面监控和精细化管理。 请参见《云日志服务用户指南》中“日志搜索与分析”章节 日志可视化 （可选）将日志数据按照图表类型呈现。 请参见《云日志服务用户指南》中“日志搜索与分析”章节 配置告警规则 （可选）监控日志中的关键词，通过在一定时间段内，统计日志中关键字出现的次数，实时监控服务运行状态。 请参见《云日志服务用户指南》中“日志告警”章节 日志字段查看 介绍日志的中各个字段代表的含义。

本节为您介绍迁移专家服务的产品定义、服务优势等内容。 什么是迁移专家服务？ 天翼云迁移专家服务，包含：云迁移专家服务和存储数据迁移专家服务。 本服务针对客户迁移上云需求，开展迁移方案设计、组织迁移实施，向客户提供一站式上云业务迁移服务，满足客户迁移上云需求。 迁移专家服务的收费标准 该人工服务的服务定价如下： 服务项目 计费模式 价格 ::: 迁移专家服务 包周期 9000元/人天 迁移专家服务的优势 更专业的服务：由技术专家提供专业迁移服务，安全省心。 更快捷的响应：专属技术专家可以更快速地响应客户需求，更快处理问题，提升效率。 更多样的方案：针对客户业务需要定制化提供迁移实施方案，迁移实施更可靠。 更全面的保障：技术专家服务与自研迁移工具为方案落地提供保障，助力客户上云无忧。 服务场景： 云迁移服务（现场/远程）： 提供云主机的迁移咨询和实施服务，提供远程或现场支持。 存储数据迁移服务（远程）： 提供对象存储数据上云迁移的咨询和实施服务，提供远程支持。

本节主要介绍计费项与产品价格。 云容器引擎（CCE）在使用过程中涉及“容器管理集群”和“IaaS基础设施”两个部分的费用： 1、 容器管理集群： 容器集群及控制节点的资源费用。按照每个集群的规格（是否高可用）、集群规模（最大支持的工作节点数）的差异收取不同的费用。 说明 集群规模是指用户在该集群下可创建或购买的云主机/物理机最大总量。 容器管理集群价格： 集群类型 高可用 集群管理规模 按小时（元/小时） 包月（元/月） 混合集群 否 50节点 0.97 421 混合集群 否 200节点 1.88 800 混合集群 否 1000节点 3.69 1557 混合集群 是 50节点 2.91 1263 混合集群 是 200节点 5.64 2400 混合集群 是 1000节点 11.07 4671 混合集群 是 2000节点 20.93 9780.9 2、IaaS基础设施： 集群工作节点所使用的IaaS基础设施费用，包括集群创建使用过程中自动创建或手动加入的相关资源，如云主机、云硬盘、弹性IP/带宽、负载均衡等，价格参照天翼云相应产品价格说明。

本文介绍网络层安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过网络层安全报表查询网络层防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 说明 网络层防护根据内置的智能识别算法进行攻击判断，未开放控制台配置。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【网络层安全报表】页面。 查询功能 您可以在网络层安全报表头部指定您要查询的时间范围。默认将展示最近7天。 报表内容： 说明 卡片栏 展示网络层攻击事件数、DDoS防护带宽峰值、DDoS峰值时间、DDoS攻击平均时长。 攻击趋势 展示被攻击的服务IP的攻击趋势图。（服务IP，即提供DDoS防护能力CNAME解析出的IP地址。） TOP攻击类型 根据攻击流量大小，计算攻击类型的占比情况。 攻击时长分布 根据攻击事件的持续时长，计算攻击时长的分布情况。

本文为您介绍Web应用防火墙客户控制台【态势感知】的开启条件以及操作步骤。 功能介绍 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通Web应用防火墙（边缘云版）扩展服务可视化大屏服务，支持使用态势感知，具体请见可视化大屏服务 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【态势感知】，浏览器将跳转至新页面，为您展示目前已接入域名的安全态势

本实践介绍如何对存储库容量进行监控配置,以便在存储库使用率达到一定阈值后对用户进行告警。 场景描述： 云硬盘备份提供存储库来进行备份数据的存放，存储库已使用容量超过总容量上限后，备份服务将不会继续执行新的备份，策略的自动执行会失败，在此期间将不会有新的备份数据可用。您可以通过云监控服务进行存储库使用率的监控指标配置，在存储库使用率达到您设置的上限后，进行短信和邮件的告警，以及时进行存储库的扩容。 监控指标： 监控指标 指标说明 测量对象 存储库使用率 该指标用于统计存储库当前已用容量占总容量的比率。 单位：% 存储库 操作步骤 1. 登录控制中心，选择地域，例如选择华东1。 2. 选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 3. 单击“云服务监控”下拉菜单，单击“云硬盘备份”，进入云硬盘备份监控列表页面。 4. 对需要监控的存储库所在行，点击“创建告警规则”，进入监控告警配置页面 5. 在告警策略中，选择“云硬盘备份存储库使用率”，根据您的实际需要进行期望的存储库使用率阈值设置，如您设置为“云硬盘备份存储库使用率“的”原始值“大于等于”80%“时进行告警，则表示在该存储库使用量达到总容量的80%时，云监控将对您发送告警通知，具体的通知方式取决于您的”配置告警通知“。 6. 其他配置参数如下： 模块 参数 参数说明 配置示例 约束与限制 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 自定义监控、自定义事件目前仅支持部分资源池。 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云硬盘备份 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 存储库 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 存储库名称 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任意策略 策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 80%，连续一个检测周期，普通 同一告警规则下，告警条件最多支持添加20条。 定义告警策略 无数据处理 不做处理/视为告警/视为恢复 不做处理 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 通知方式 配置告警通知的通知方式。 通知联系人组 配置告警通知 告警联系组 配置发生告警通知的用户组。 vbsalarm 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知渠道 配置告警通知的通知渠道，支持邮箱、短信、语音。 邮箱、短信 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 重复2次 配置告警通知 通知频率 配置告警通知的通知频率。 每12小时通知一次 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 通知模板 选择通知模板,告警信息将按系统默认模板。 系统模板 规则信息 名称 该告警规则的自定义名称。 vbsalarmnote 规则信息 描述 添加对该告警规则描述（此参数非必填项）。

本文主要介绍如何设置监控告警规则。 操作场景 通过设置弹性云主机告警规则，用户可自定义监控目标与通知策略，及时了解弹性云主机运行状况，从而起到预警作用。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击图标，选择区域和项目。 3. 选择“管理与部署 > 云监控服务”。 4. 在左侧导航树栏，选择“告警 > 告警规则”。 5. 在“告警规则”界面，单击“创建告警规则”创建弹性伸缩的告警规则，或者选择已有的弹性伸缩的告警规则进行修改，设置弹性伸缩的告警规则。 6. 规则参数设置完成后，单击“立即创建”。 说明 更多关于设置告警规则的信息，请参见《云监控用户指南》。 可以使用在云监控页面创建的告警规则，实现动态资源扩展。

本文为您介绍密钥管理服务的定义及产品架构。 密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。 产品架构 业务组件 业务组件 说明 参考文档 密钥管理 密钥管理组件提供密钥安全托管存储、生命周期管理以及密码运算能力。您可以在自建应用程序中，通过KMS提供的云原生接口实现数据加解密、签名验签等运算，同时KMS已对接天翼云云硬盘、对象存储、弹性文件、关系数据库MySQL版，为云服务提供服务端加密能力。 密钥管理概述 证书管理 证书管理组件提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书管理概述

天翼云为您提供虚拟私有云产品服务协议,请您点击查看。 虚拟私有云服务协议

本节主要介绍网络及安全问题 数据复制服务有哪些安全保障措施 网络 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 如何处理迁移过程中出现的网络中断 迁移过程中如果出现网络中断，可先观察任务状态，当如下状态的迁移任务出现失败时，可在任务列表上单击“续传”，进行任务续传。 全量迁移 增量迁移 如何通过设置VPC安全组，允许本云VPC访问外部弹性IP 默认情况下，基于安全的考虑，本云VPC与外部网络是隔离的，VPC内是无法访问外部的弹性IP，如其他云数据库的弹性IP、云下数据库的弹性IP等。但数据库迁移场景需要确保本云VPC内的迁移实例或者目标数据库可连通外部的弹性IP，从而实现数据库迁移。 为此，您需要在安全组里设置一个出口规则，出口规则控制的是本云VPC可以访问哪些外部的弹性IP和端口范围，安全组的出入口规则一般需要满足“严进宽出”的要求。 如何处理迁移实例和数据库网络连接异常 数据迁移前请确保完成网络准备和安全规则设置。如果连接异常，请按照本节方法排查网络配置是否正确。 本节将以MySQL到RDS for MySQL的迁移为示例，从三种迁移场景（跨云数据库实时迁移、本地数据库实时迁移、ECS自建数据库实时迁移）进行说明。 跨云数据库实时迁移 1. 网络准备。 源数据库需要开放公网访问。 源数据库的网络设置： 源数据库MySQL实例需要开放外网域名的访问。 具体的操作及注意事项可以参考源数据库所在云提供的相关指导。 目标数据库的网络设置： 目标数据库默认与DRS迁移实例处在同一个VPC内，网络是互通的，不需要进行任何设置。 2. 安全规则准备。 源数据库的安全规则设置： 源数据库MySQL实例需要将目标端DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MySQL实例可以与上述弹性公网IP连通。 在设置网络白名单之前，需要先获取目标端DRS迁移实例的弹性公网IP，具体方法如下：DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法， 在安全允许的情况下 ，可以将源数据库MySQL实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 本地数据库实时迁移 3. 网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库 RDS for MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置 ： 若通过VPN访问，请先开通VPN服务，确保源数据库MySQL和目标端本云云数据库 RDS for MySQL的网络互通。 若通过公网网络访问，本云云数据库 RDS for MySQL实例不需要进行任何设置。 4. 安全规则准备： a. 源数据库的安全规则设置： 若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性公网IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性公网IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 b. 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 ECS自建数据库实时迁移 5. 网络准备： 源数据库所在的region要和目标端本云云数据库 RDS for MySQL实例所在的region保持一致。 源数据库可以与目标端本云云数据库 RDS for MySQL实例在同一个VPC，也可以不在同一个VPC。 当源库和目标库处于同一个VPC时，网络默认是互通的。 当不在同一个VPC的时候，要求源数据库实例和目标端本云云数据库 RDS for MySQL实例所处的子网处于不同网段，此时需要通过建立对等连接实现网络互通。 6. 安全规则准备： 同一VPC场景下，默认网络是连通的，不需要单独设置安全组。 不同VPC场景下，通过建立对等连接就可以实现网络互通，不需要单独设置安全组。 排查iptables设置 以源数据库为本云ECS自建数据库为例，如果在上述的操作后，仍无法连通，此时需要额外排查iptables设置，因为HOSTGUARD服务在DRS发起频繁连接请求失败时，会将请求IP加入黑名单中。 7. 登录弹性云主机。 8. 执行以下命令，排查是否有DENY相关的项目包含DRS实例的IP，一般项目名称为INHIDSMYSQLDDENYDROP 。 iptables list 9. 如果存在，执行以下命令，查询iptables入方向规则列表，获取具体规则编号（linenumbers）。 iptables L INPUT linenumbers 10. 执行以下命令，删除DRS实例的IP相关的入方向规则（注意：必须从后往前删，不然linenumbers会更新，需要重新查询）。 iptables D 规则项目名 具体规则编号 11. 删除相关iptables规则后重新进行测试连接即可。

进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“Web应用防火墙 > Web应用防火墙v1.0”，进入Web应用防火墙v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到Web应用防火墙v1.0控制台。 使用Web应用防火墙v1.0 了解更多Web应用防火墙v1.0相关操作内容，请下载阅读《云等保专区Web应用防火墙 v1.0 用户指南》。

本文主要介绍保护Failover Cluster模式下的SQL Server。 当前云主机备份只支持单个虚拟机的一致性备份，对于集群数据库暂不支持，完整支持将在后续版本中推出。 在Failover Cluster模式下，SQL Server服务只在主节点上是启动的，故在创建云主机备份时，只需要将主节点加入策略进行备份。在主备发生切换后，及时调整策略，确保始终对主节点进行备份。在恢复时，请先停止所有备节点，然后还原主节点。