本节主要介绍产品定义 应用服务网格(CT Application Service Mesh，简称ASM) 是高可靠、高性能的全托管式服务网格，以应用基础设施方式为用户提供服务流量管理、服务发布以及服务访问安全和服务运行监控能力，通过一键启用方式无缝对接云容器引擎CCE。

本文主要介绍 步骤二:创建Kafka实例。 前提条件 在创建Kafka实例前，需要保证存在可使用的虚拟私有云。创建方法，请参考《虚拟私有云 用户指南》的“创建虚拟私有云和子网”。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 操作步骤 步骤 1 登录分布式消息服务Kafka控制台，单击页面右上方的“购买Kafka实例”。 步骤 2 选择计费模式。 步骤 3 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 步骤 4 在“项目”下拉列表中，选择项目。 步骤 5 在“可用区”区域，根据实际情况选择1个或者3个及以上可用区。 步骤 6 设置“实例名称”和“企业项目”。 步骤 7 设置实例信息。 1. 版本：Kafka的版本号，支持1.1.0、2.7和3.x，根据实际情况选择，推荐使用3.x。 Kafka实例创建后，版本号不支持修改 。 2. 鲲鹏实例，“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 3. 在“代理规格”中，请根据业务需求选择相应的代理规格。在“代理数量”中，选择代理个数。 单个代理最大分区数代理个数实例分区数上限。当所有Topic的总分区数大于实例分区数上限时，创建Topic失败。 4. 在“存储空间”区域，您根据实际需要选择存储Kafka数据的磁盘类型和总磁盘大小。 Kafka实例创建后，磁盘类型不支持修改 。 存储空间包含所有副本存储空间总和，建议根据业务消息体积以及副本数量选择存储空间大小。假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 5. 在“容量阈值策略”区域，设置磁盘使用达到容量阈值后的消息处理策略，容量阈值为95%。 自动删除：可以正常生产和消费消息，但是会删除最早的10%的消息，以保证磁盘容量充足。该场景优先保障业务不中断，数据存在丢失的风险。 生产受限：无法继续生产消息，但可以继续消费消息。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 图 创建Kafka实例 步骤 8 设置实例网络环境信息。 1. 在“虚拟私有云”下拉列表，选择已经创建好的虚拟私有云和子网。 说明 虚拟私有云和子网在Kafka实例创建完成后，不支持修改。 子网开启IPv6后，Kafka实例支持IPv6功能。Kafka实例开启IPv6后，客户端可以使用IPv6地址连接实例。 子网开启IPv6后，页面才展示此参数。开启IPv6后，客户端可以使用IPv6地址连接实例。 开启IPv6的实例不支持动态开启和关闭SASLSSL功能。 实例创建成功后，不支持修改IPv6开关。 3. 在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对Kafka实例的访问规则的集合。您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 步骤 9 设置登录Kafka Manager的用户名和密码。创建实例后，Kafka Manager用户名无法修改。 Kafka Manager是开源的Kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 步骤 10 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤 11 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 “公网访问”默认为关闭状态，根据业务需求选择是否开启。开启公网访问后，还需要为每个代理设置对应的IPv4弹性IP地址。 图 设置公网访问开关 2. 设置“Kafka SASLSSL”。 客户端连接Kafka实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 “Kafka SASLSSL”默认为关闭状态，您可以选择是否开启。 Kafka实例创建后，Kafka SASLSSL开关不支持修改 ，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您可以选择是否开启“SASL PLAIN 机制”。未开启“SASL PLAIN 机制”时，使用SCRAMSHA512机制传输数据，开启“SASL PLAIN 机制”后，同时支持SCRAMSHA512机制和PLAIN机制，根据实际情况选择其中任意一种配置连接。Kafka实例创建后，SASL PLAIN机制开关不支持修改。 什么是SCRAMSHA512机制和PLAIN机制？ SCRAMSHA512机制：采用哈希算法对用户名与密码生成凭证，进行身份校验的安全认证机制，比PLAIN机制安全性更高。 PLAIN机制：一种简单的用户名密码校验机制。 开启Kafka SASLSSL后，您需要设置连接Kafka实例的用户名和密码。 3. 设置“Kafka自动创建Topic”。 “Kafka自动创建Topic”默认为关闭状态，您可以选择是否开启。 开启“Kafka自动创建Topic”表示生产或消费一个未创建的Topic时，系统会自动创建此Topic，此Topic的默认参数值如下：分区数为3，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 如果在“配置参数”中修改“log.retention.hours”、“default.replication.factor”或“num.partitions”的参数值，此后自动创建的Topic参数值为修改后的参数值。例如：“num.partitions”修改为“5”，自动创建的Topic参数值如下：分区数为5，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 4. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击“查看预定义标签”，跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个Kafka实例最多支持设置20个不同标签，标签的命名规格，请参考管理实例标签。 5. 设置实例的描述信息。 步骤 12 填写完上述信息后，单击“立即购买”，进入规格确认页面。 步骤 13 确认实例信息无误后，提交请求。 步骤 14 单击“返回Kafka专享版”，查看Kafka实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明 创建失败的实例，不会占用其他资源。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 否 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 storagetest backupStorageID 是 String 要退订的存储库ID 770fb5e77f84423c9dd42eaf7912d5bc regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d

本文主要介绍如何将已录入DMS的云数据库实例名同步为RDS控制台的实例名称。 前提条件 已登录数据管理服务。 操作步骤 1. 点击数据资产 > 实例管理 ，进入实例列表界面。 2. 在实例列表页面中，在点击 同步RDS实例名称 按钮。 3. 在弹窗确认提示信息后，点击确定按钮，开始同步已开启实例名称同步功能的实例名称。

本文主要介绍如何将已录入DMS的云数据库实例名同步为RDS控制台的实例名称。 前提条件 已登录数据管理服务。 操作步骤 1. 点击数据资产 > 实例管理 ，进入实例列表界面。 2. 在实例列表页面中，在点击 同步RDS实例名称 按钮。 3. 在弹窗确认提示信息后，点击确定按钮，开始同步已开启实例名称同步功能的实例名称。

操作场景 查看终端节点服务的后端服务名称、服务类型、虚拟私有云、状态等。 操作步骤 1.登录管理控制台。 2.单击“服务列表”，选择“网络 > 终端节点”，进入终端节点页面。 3.在左侧导航栏选择“终端节点 > 终端节点服务”。 4.单击要查看的终端节点服务，如下图所示。 终端节点服务基本信息

section0f55082019a41aa7)。 实例在二类节点区域：您可以单击“绑定弹性IP”会进入对应云主机详情页面，在该页面查看、绑定、解绑弹性IP，相关文档请参见绑定弹性公网IP。 路由：显示当前节点的默认网关。支持修改默认网关，详细操作请参见配置默认路由。

操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

云监控提供默认的系统告警模板，同时您也可将相应产品的告警规则保存在自定义告警模板中。可以直接通过模板创建告警规则时，节省配置时效。 操作场景 如果您拥有大量云资源，可以通过系统默认告警模板及自定义告警模板，快捷创建告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看模板 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“告警服务>告警模板”菜单，即可进入告警模板页面，默认为系统默认告警模板。

我的凭证是将用户的安全凭证信息进行集中展示与管理的服务，安全凭证包括IAM用户ID、账号ID等。 项目ID是IAM用户的云服务所在区域（资源池）ID，您在调用云服务API接口进行云资源管理（如创建VPC）时，需要提供项目名称和项目ID。 我的凭证信息和项目信息可以在“我的凭证”中查看。 操作步骤 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单。 步骤 4 单击“我的凭证”，进入凭证详情页，查看IAM用户ID、账号ID、项目ID等信息。

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

场景2：构造大量畸形报文的请求进行CC攻击 攻击者在进行CC攻击时构造的请求常常与正常请求的特征不相符，安全与加速服务可通过识别不合理请求的特征对CC攻击进行防护。例如： Cookie不合理。Cookie是一种在客户端（通常是Web浏览器）和服务器之间传输和存储数据的机制，正常请求往往会携带网站本身业务集的Cookie。CC攻击请求常常不会携带cookie或者携带伪造的cookie。针对此种场景您可以开启cookie防护功能进行防护。 HTTP请求头部缺失或不正确的请求方法。通过指定网站接口正常请求所需的请求头部及允许的请求方法，可以拦截缺少某些HTTP请求头部或不正确请求方法的攻击，您可以通过合规检测配置实现该防护功能。 场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截。

本文介绍连接器集群相关配置,以便您可以快速接入服务。 功能介绍 远程办公场景：在您访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术，将您的内网应用资源和天翼云零信任安全网关进行网络连通，避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络，有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题，实现企业内网的统一和可信延伸。 办公组网场景：您需要在进行互联互通的分支网络中部署连接器，连接器可与天翼云边缘节点建立安全隧道或直接与对端连接器打通，通过统一的管理平面，控制不同分支机构的互联互访。 全球加速：您需要在需要进行加速访问的网络中，部署连接器，连接器遵循白名单原则，对需要加速访问的应用进行引流，它将作为“高速公路”入口，与天翼云边缘节点进行网络打通。 使用说明 您需要准备服务器用于安装连接器，可选择云上服务器（云主机）、虚拟机或是物理服务器等进行部署安装，该服务器需要由客户自行购买。 使用该能力需要购买零信任服务、网络服务或全球加速服务，针对不同场景进行选择配置。

本文为您介绍密钥管理服务相关的基本概念。 对称密钥加密 又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。 非对称密钥加密 非对称密钥由一对互相关联的公钥和私钥组成，其中的公钥可以被分发给任何人，而私钥必须被安全保护起来，只有受信任者可以使用。非对称密钥通常用于在信任程度不对等的系统之间，实现数字签名验签或者加密传递敏感信息。 用户主密钥（Customer Master Key，CMK） 用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥，也可直接用于加密少量的数据。用户可以调用KMS的产品控制台或CreateKey接口创建一个用户主密钥。 默认主密钥（Default CMK） 用户使用云产品加密功能时，由云产品触发KMS系统自动生成的并托管在用户账号下的服务密钥。 信封加密（Envelope Encryption） 信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥（CMK）直接加密和解密数据。当需要加密业务数据时，可以调用KMS的GenerateDataKey或GenerateDataKeyWithoutPlaintext接口生成一个对称密钥，同时使用指定的用户主密钥加密该对称密钥（被密封的信封保护）。 数据加密密钥（Data Encryption Key，DEK） 信封加密技术中用于加密业务数据的密钥，受用户主密钥CMK加密保护。

本节介绍了镜像加速器的用户指南。 概述 通过镜像加速器，用户可以拉取Docker Hub上的容器镜像。天翼云容器镜像服务提供了镜像下载加速功能，对部分常用的开源镜像下载进行加速。 前提条件 已开通天翼云弹性云主机 注意 1. 镜像加速器仅限于支持个人开发场景使用，不允许有再次封装或商业用途。 2. 仅支持通过镜像加速器拉取常用的开源镜像，不保证能够加速所有镜像，生产环境请谨慎使用。不保证百分比能拉取成功。 23 生产环境中慎重配置使用Docker Hub容器镜像地址，建议先拉取到本地，再同步到天翼云容器镜像服务。 配置Docker 1. 编辑 /etc/docker/daemon.json (如果文件不存在，则新建）。增加以下内容（注意符合 JSON 格式）后保存。 plaintext { "registrymirrors": [" } 2. 重启 Docker。 plaintext systemctl restart docker 3. 执行docker info 结果出现配置的地址则配置成功。 4. 拉取一个镜像验证，例如 docker pull nginx。 配置Containerd 针对云容器引擎主机 1. 编辑 /etc/containerd/certs.d/docker.io/hosts.toml ,替换成以下内容 ： plaintext server " [host." capabilities ["pull", "resolve", "push"] 2. 重启 containerd:。 plaintext systemctl restart containerd 3. 拉取Docker Hub镜像验证是否生效。 shell ctr images pull docker.io/library/nginx:latest hostsdir /etc/containerd/certs.d plainhttp

本节介绍了镜像加速器的用户指南。 概述 通过镜像加速器，用户可以拉取Docker Hub上的容器镜像。天翼云容器镜像服务提供了镜像下载加速功能，对部分常用的开源镜像下载进行加速。 前提条件 已开通天翼云弹性云主机 注意 1. 镜像加速器仅限于支持个人开发场景使用，不允许有再次封装或商业用途。 2. 仅支持通过镜像加速器拉取常用的开源镜像，不保证能够加速所有镜像，生产环境请谨慎使用。不保证百分比能拉取成功。 23 生产环境中慎重配置使用Docker Hub容器镜像地址，建议先拉取到本地，再同步到天翼云容器镜像服务。 配置Docker 1. 编辑 /etc/docker/daemon.json (如果文件不存在，则新建）。增加以下内容（注意符合 JSON 格式）后保存。 plaintext { "registrymirrors": [" } 2. 重启 Docker。 plaintext systemctl restart docker 3. 执行docker info 结果出现配置的地址则配置成功。 4. 拉取一个镜像验证，例如 docker pull nginx。 配置Containerd 针对云容器引擎主机 1. 编辑 /etc/containerd/certs.d/docker.io/hosts.toml ,替换成以下内容 ： plaintext server " [host." capabilities ["pull", "resolve", "push"] 2. 重启 containerd:。 plaintext systemctl restart containerd 3. 拉取Docker Hub镜像验证是否生效。 shell ctr images pull docker.io/library/nginx:latest hostsdir /etc/containerd/certs.d plainhttp

本文向您介绍弹性IP服务的基本概念。 独享带宽 当您购买EIP时，无论是哪种计费模式，只要没有加入共享带宽，那么您的EIP使用的是独享带宽。 您可以根据业务需求随时调整独享带宽大小，带宽大小的修改即时生效。 独享带宽支持对单个EIP进行限速，该EIP只能被一个云资源（弹性云主机、NAT网关、弹性负载均衡等）使用。一般情况下，如果所有IP业务都是同时间进行公网访问，建议使用独享带宽。 共享带宽 共享带宽可以实现多个EIP共同使用一条带宽，针对多个EIP进行集中限速。 同一区域下的所有已绑定EIP的ECS、ELB等实例共用一条带宽资源，实现VPC和区域级别的带宽统一管理，同时方便运维统计和运营成本结算。 区域和可用区 什么是区域、可用区 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本章节介绍故障演练服务的产品定义。 产品定义 故障演练服务是云原生混沌工程平台，深度融合云原生应用产品体系，提供标准化引导、正确性约束和自动化运行的实验管理，支持大规模、低成本、影响可控、形式多样的应用故障演练，帮助企业增强应用系统的容错能力和恢复能力，提升客户应用云上运行的稳定性。 为什么需要故障演练 应用高可用建设往往是基于先验设计的具体实施，描绘一幅全面但静态的蓝图。而问题在于，随着部署环境、流量模式和调用依赖的日益复杂，系统运行时的动态变化远超预设，没人能预判所有潜在问题。每一次故障都是独特的，但故障的成因是可枚举的，从基础设施到上层服务，功能趋同形成内聚的节点，这有限的故障归因，是高可用建设的结果能够预期的基础。 每一种容灾手段就像针对某类疾病的靶向药，从实验室开发到药品上市，要经过一期又一期的临床实验，才能勉力对抗人类基因的无限性，确保药品在广泛的病患群体中取得符合预期的疗效。异常是不可避免的，高可用建设不是消灭异常，而是消化异常。故障演练就是应用高可用的临床实验，在生产的可控范围内进行可预期的异常暴露和处理，随着不断迭代改进，演练形成的风险处置预案就像给系统注入的疫苗，随时应对真实的生产故障。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知联动企业主机安全服务（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 1. 请立即确认登录主机的源IP的可信情况。 2. 请立即修改被暴力破解的系统账户口令。 3. 请立即执行检测入侵风险账户，排查可疑账户并处理。 4. 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 1. 请及时确认登录主机的源IP的可信情况。 2. 请及时登录主机系统，全面排查系统风险。 3. 请根据实际需求升级HSS防护能力。 4. 请根据实际情况加固主机安全组、防火墙配置。

本文为您介绍如何对已接入的应用进行编辑。 操作场景 在您将应用接入容灾管理中心后，可以通过多活容灾服务控制台编辑您接入的应用。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“应用管理”，进入应用管理页面，点击应用列表中的“编辑”按钮，进入编辑应用页。 5. 在基础信息部分，可以对绑定的云主机、健康检查进行编辑。 1. 编辑绑定的弹性云主机：点击编辑按钮，用户可以通过勾选新增分区内未接入本应用管理空间的ECS，或通过取消勾选移除已接入本应用管理空间的ECS。 2. 编辑健康检查：点击编辑按钮，用户可以修改请求类型、请求频率、超时时间、健康阈值、不健康阈值、请求路径信息。 6. 在数据库信息部分，用户可以修改数据库类型、数据库实例名、数据库地址、数据库数量。在存储信息部分，用户可以修改Bucket名称、Bucket外网域名、Bucket内网域名、Bucket数量。 7. 点击页面下方“确认编辑”按钮，完成编辑操作。

Agent已经安装，系统仍将重复安装 问题现象 当日志出现如下图所示信息时，则表示Agent已经安装。 Agent重复安装： 解决方法 1. （可选）方法一：通过管理控制台注销该节点。 1. 登录态势感知（专业版）管理控制台。 2. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 3. 在左侧导航栏选择“设置> 组件管理”，进入节点管理页面后，单击目标节点所在行“操作”列的“注销”。 4. 在弹出的确认框中，单击“确认” 2. （可选）方法二：通过脚本命令卸载Agent。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. 执行sh /opt/cloud/agentcontrollereuler.sh uninstall命令，卸载Agent。 3. 检查是否已完成卸载。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. （可选）方法一：执行 ls a /opt/cloud/ 查看“/opt/cloud”目录下的文件，当提示如下图所示信息（只有脚本文件）时，则表示已完成卸载。 脚本文件： 3. （可选）方法二：执行saltminion version命令，当提示如下图所示信息时，则表示已卸载完成。 检查Agent信息： 注意 节点注销需要一定的时间，不建议点完注销立刻安装。

配置会话在开启后，当CPU和内存使用率超过服务器配置时，将自动禁止新增会话。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“会话限制配置”模块的右侧，单击“编辑”，进入“会话限制配置”页面。 4、开启会话限制的开关状态为默认开启，并设置CPU和内存的使用率，当达到设置的使用率，将停止新增会话。 5、单击“确定”，完成配置。

此小节介绍云堡垒机数据库审计。 审计对象为授权的资产数据角色在本地初始化访问方式产生的数据库会话，支持查看sql指令，会话详情。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 数据库审计”。 2.可直接查看数据库审计的相关内容。

本节介绍了如何重置云数据库GaussDB 的参数模板。 操作场景 您可根据自己的业务需求，重置自己创建的参数模板对应的所有参数，使其恢复到默认值。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“参数模板管理”页面的“自定义”页签，选择需要设置的参数模板，单击“更多 > 重置”。 步骤 3 单击“是”，重置所有参数为其默认值。

500MB免费额度怎么算？ 云日志服务的计费功能包括： 1. 日志读写和索引； 2. 日志存储。 每个月免费赠送每个用户500MB免费额度，具体说明如下： 日志读写、索引：按流量计费，免费赠送每个用户每个月500MB额度，超过后按需收费。 日志存储：按存储空间计费，免费赠送每个用户每个月500MB额度，超过后按需收费。

本章节介绍云原生API网关的定义。 概述 云原生API网关分为API网关和AI网关两个产品。API网关是一款面向现代应用架构设计的高性能网关解决方案，集成流量治理、安全防护、服务集成与可观测能力于一体。通过动态路由、插件热插拔、配置热更新等关键特性，实现对海量API请求的高效处理与灵活控制，全面适配微服务、Kubernetes、AI推理等多样化场景，助力企业构建稳定安全、可演进的API基础设施，全面提升系统的敏捷性与运维效率。AI网关是一款面向AI场景的高性能网关解决方案，统一代理大模型API、MCP Server和Agent API，可以作为AI应用与大模型服务、工具和其他Agent之间的桥梁，助力企业提升AI服务的集成效率和治理能力。 API网关 API网关在使用上，分为HTTP API、REST API、WebSocket API。 HTTP API 以路由为核心，适用于接口规范不统一的场景。推荐用于流量转发、Kubernetes Ingress、微服务间通信等应用。若您关注请求路由控制和流量管理，建议选择此类型。 REST API 遵循统一的OpenAPI 规范，适用于前后端协作、系统集成以及API的精细化管理。适合需要对外提供标准接口文档、SDK 等协作支持的场景。若您希望构建标准化、可治理的API接口体系，建议选择此类型。 WebSocket API 基于WebSocket协议，支持双向实时通信，适用于AI、IoT、即时通讯等对实时性要求高的场景。相较于传统HTTP接口，具备长连接和低延迟优势，已内置相关默认配置。若您的应用需实现高效的实时数据交互，建议选择此类型。 AI网关

本章节介绍云原生API网关的服务健康检查配置 概述 云原生API网关对后端服务的健康检查分为主动健康检查和被动健康检查。单节点上游服务默认关闭健康检查，可通过单节点健康检查开关强制启用。 主动健康检查 主动健康检查通过预设的探针，主动探测上游节点的存活性，目前支持 HTTP、HTTPS、TCP 三种探针类型。当发往某个健康节点的若干个连续探测请求都失败时，则该节点将被标记为不健康，不健康的节点将会被网关的负载均衡器忽略，无法收到请求；若发往某个不健康的节点的连续若干个探测请求都成功，则该节点将被重新标记为健康，进而可以被代理。 主动健康检查支持的配置项 配置项 说明 探测类型 当前支持TCP、HTTP、HTTPS探测 超时时间 探测请求超时时间 并行数量 并发主动探测的最大数量 端口 探测的服务端口 请求路径 探测请求的路径，仅对HTTP和HTTPS探测有效 健康状态定义 对于不健康节点的探测配置，用于判断节点是否恢复健康。 1. 探测时间间隔（秒） 2. 成功次数：主动探测成功达到次次数时认为节点是健康的 3. 状态码：对于HTTP和HTTPS探测，定义了哪些状态码是健康的，如2XX，3XX 不健康状态定义 对于健康节点的探测配置，用于判断节点是否监控。 1. 探测时间间隔（秒） 2. 超时次数：超时次数大于或者等于该配置时认为节点不健康 3. 状态码：定义了哪些状态码是异常的，如4XX，5XX 4. HTTP失败次数：HTTP失败次数大于等于该值时认为节点不健康 5. TCP失败次数：TCP失败大于等于该值时认为节点不健康

本章节介绍云原生API网关的服务健康检查配置 概述 云原生API网关对后端服务的健康检查分为主动健康检查和被动健康检查。单节点上游服务默认关闭健康检查，可通过单节点健康检查开关强制启用。 主动健康检查 主动健康检查通过预设的探针，主动探测上游节点的存活性，目前支持 HTTP、HTTPS、TCP 三种探针类型。当发往某个健康节点的若干个连续探测请求都失败时，则该节点将被标记为不健康，不健康的节点将会被网关的负载均衡器忽略，无法收到请求；若发往某个不健康的节点的连续若干个探测请求都成功，则该节点将被重新标记为健康，进而可以被代理。 主动健康检查支持的配置项 配置项 说明 探测类型 当前支持TCP、HTTP、HTTPS探测 超时时间 探测请求超时时间 并行数量 并发主动探测的最大数量 端口 探测的服务端口 请求路径 探测请求的路径，仅对HTTP和HTTPS探测有效 健康状态定义 对于不健康节点的探测配置，用于判断节点是否恢复健康。 1. 探测时间间隔（秒） 2. 成功次数：主动探测成功达到次次数时认为节点是健康的 3. 状态码：对于HTTP和HTTPS探测，定义了哪些状态码是健康的，如2XX，3XX 不健康状态定义 对于健康节点的探测配置，用于判断节点是否监控。 1. 探测时间间隔（秒） 2. 超时次数：超时次数大于或者等于该配置时认为节点不健康 3. 状态码：定义了哪些状态码是异常的，如4XX，5XX 4. HTTP失败次数：HTTP失败次数大于等于该值时认为节点不健康 5. TCP失败次数：TCP失败大于等于该值时认为节点不健康

本节主要介绍配置内网域名及解析域名的方法。 创建内网域名 1. 登录管理控制台。 2. 在“服务列表”或“所有服务”中，选择“网络 > 云解析服务”。 3. 在云解析服务页面，选择“内网解析”，进入“内网域名”页面。 4. 单击“创建内网域名”，进行域名创建。 5. 填选内网域名信息。 6. 单击“确定”，在“内网域名”页面，查看域名的创建状态。当域名状态为正常时，说明域名已创建成功。 参数名称 说明 示例 域名 创建的内网域名名称。支持创建顶级域，但需符合域名命名规范。 example.com VPC 内网域名关联的VPC需要和GeminiDB Redis实例所在的VPC一致，否则内网域名解析不成功。 邮箱 可选参数。管理该内网域名的管理员邮箱。建议用户使用保留邮箱“HOSTMASTER@域名 ”作为此管理员邮箱。 HOSTMASTER@example.com 企业项目 内网域名关联的企业项目，用于将内网域名按照企业项目进行管理。 说明 仅当用户使用的“账号类型”为“企业账号”时，显示该参数，且参数必选。 配置原则： 如果不通过企业项目管理域名资源，则采用默认值“default”。 如果通过企业项目管理域名资源，则在下拉列表中选择已经创建的企业项目。 default 标签 可选参数。域名的标识，包括键和值，每个域名可以创建10个标签。键和值的命名规则如下： 键： 不能为空。 对于同一资源键值唯一。 长度不超过36个字符。 取值为不包含“”、“”、“ ”、“”、“,”、“ ”和“/”的所有Unicode字符，且首尾字符不能为空格。 值： 不能为空。 长度不超过43个字符。 取值为不包含“”、“”、“ ”、“”、“,”、“ examplekey1 examplevalue1 描述 可选参数。域名的描述信息。长度不超过255个字符。 This is a zone example.

通过IAM用户控制资源访问 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对流量镜像资源的访问。 操作步骤 创建IAM子用户 具体操作，请参见“创建用户”。 创建自定义策略 天翼云提供了访问流量镜像资源的系统策略，更多信息，请参见“管理权限”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见“自定义策略“。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1. 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a) 脚本配置策略示例一：为IAM子用户配置虚拟私有云查看者权限。 { "Version": "1.1", "Statement": [ { "Action": [ "vpc:mirrorFilter:get", "vpc:mirrorFilter:list", "vpc:trafficMirror:get", "vpc:trafficMirror:list", "vpc:cloudServerNics:get", "vpc:cloudServerNics:list", "vpc:trafficMirror:", ], "Effect": "Allow" } ] } b) 脚本配置策略示例二：为IAM子用户配置虚拟私有云所有操作权限。 { "Version": "1.1", "Statement": [ { "Action": [ "vpc:mirrorFilter:", "vpc:trafficMirror:", "vpc:cloudServerNics:get", "vpc:cloudServerNics:list", ], "Effect": "Allow" } ] }

本节包含了通用计算增强型C6弹性云主机的概述、规格、适用场景。 概述 C6搭载第二代英特尔® 至强® 可扩展处理器，多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。 类型 CPU基频/睿频 CPU型号 ::: C6 3.0GHz/3.4GHz 6266 适用场景 对计算与网络有更高性能要求的网站和Web应用 通用数据库及缓存服务器 中重载企业应用 游戏、渲染等 规格 表 C6型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6.large.2 2 4 4/1.2 40 50 2 2 KVM c6.xlarge.2 4 8 8/2.4 80 50 2 3 KVM c6.2xlarge.2 8 16 15/4.5 150 100 4 4 KVM c6.3xlarge.2 12 24 17/7 200 150 4 6 KVM c6.4xlarge.2 16 32 20/9 280 150 8 8 KVM c6.6xlarge.2 24 48 25/14 400 200 8 8 KVM c6.8xlarge.2 32 64 30/18 550 300 16 8 KVM c6.16xlarge.2 64 128 40/36 1000 500 32 8 KVM c6.large.4 2 8 4/1.2 40 50 2 2 KVM c6.xlarge.4 4 16 8/2.4 80 50 2 3 KVM c6.2xlarge.4 8 32 15/4.5 150 100 4 4 KVM c6.3xlarge.4 12 48 17/7 200 150 4 6 KVM c6.4xlarge.4 16 64 20/9 280 150 8 8 KVM c6.6xlarge.4 24 96 25/14 400 200 8 8 KVM c6.8xlarge.4 32 128 30/18 550 300 16 8 KVM c6.16xlarge.4 64 256 40/36 1000 500 32 8 KVM

本章节向您介绍如何修改安全组基本信息及安全组规则。 修改安全组基本信息 操作场景 安全组创建完成后，您可以修改安全组的名称和描述。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列下的“更多 > 修改”，弹出“修改安全组”对话框。 3. 根据界面提示，修改安全组的名称和描述信息。 4. 参数修改完成后，单击“确定”，保存修改。 修改安全组规则 操作场景 当安全组规则设置不满足需求时，您可以修改安全组中的规则，保证云主机等实例的网络安全。您可以修改安全组规则的端口号、协议、IP地址等。 约束与限制 当您修改安全组规则前，请您务必了解该操作可能带来的影响，避免误操作造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，下表中的入方向规则，确保安全组内实例的内网网络互通，不建议您修改该安全组规则。 在出方向中，下表中的出方向规则，允许所有流量从安全组内实例流出。如果您修改了该规则，可能导致安全组内的实例无法访问外部，请您谨慎操作。 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0