云硬盘备份是将云硬盘数据复制到其他存储介质或位置的操作，属于数据保护机制。该机制可应对数据损坏、误删除、恶意操作或主存储系统故障等风险，确保数据的可靠性与可恢复性。 前提条件 已创建容器集群。 已在插件市场安装存储插件cstorcsi，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见:“云硬盘使用限制” 快照类型 比较项 标准快照（STANDARD） 极速快照（FAST） 所属产品类型 云硬盘备份 云硬盘 生成快照速度 慢 快 限制条件 1. 需预先创建对应的云硬盘备份存储库。若未启用按需自动扩容功能，则存储库容量不足时需手动进行扩容。 1. 删除源盘前，需先删除该源盘的所有快照。 2. 快照仅支持创建与其源盘同一可用区的云硬盘。例如，可用区2的云盘快照只能用于创建可用区2的云硬盘，若尝试在可用区1创建将报错。 3. 快照创建的云硬盘类型必须与源盘一致。例如，SAS 类型云盘的快照只能创建出 SAS 类型的云硬盘。 价格 价格相对更低，但需预先购买存储库空间，可能在一定程度上造成资源浪费。 价格相对更高，但无需预先预留存储空间。 操作方法 除了snapclass中填的字段不同，其他K8S侧的用法与极速快照一致。 除了snapclass中填的字段不同，其他K8S侧的用法与标准快照一致。 K8S适配性 更好 较差，主要问题在于源盘与云盘快照之间存在耦合关系，而 Kubernetes 将其视为两个独立的资源进行处理。

功能 说明 监控面板 为您提供自定义查看监控数据的功能，您可以自定义添加监控指标，用于在一个视图中同时查看不同资源、不同维度的监控指标。 资源分组 资源分组支持对不同类型的云产品进行分组，从而方便用户按组对云产品进行统一管理、设置告警规则、查看状态等，提高运维效率。 主机监控 主机监控分为云主机监控和物理机监控。无论您使用的是弹性云主机还是物理机，都可以使用主机监控进行服务器资源使用情况监控和排查故障时的监控数据查询。 云服务监控 云服务监控是对天翼云的云硬盘、弹性IP、负载均衡、NAT网关等产品进行监控，可以查看各产品中资源的监控项。 事件监控 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控，并在事件发生时进行告警。 站点监控 通过站点监控的探测点，模拟最终用户的访问行为，可以获得全国各地到目标地址的访问数据。您可以针对分析探测结果，得出自己的网站站点的质量分析。 告警服务 用户可灵活配置自定义告警模板、告警规则和告警联系人/组，及时了解实例资源运行状况和性能，避免因为资源问题造成业务损失。

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

本文向您介绍如何使用Debian系列弹性云主机安装图形化界面。 操作场景 为给用户提供纯净的云主机系统，目前使用的Debian系列弹性云主机默认没有安装图形化界面，若有相关需要，详见本篇内容进行安装。 约束与限制 本文所用系统为Debian 9.0.0 64位。 安装图形化界面前请确保云主机内存不小于2GB，以免出现安装失败等问题。 操作步骤 1. 远程登陆云主机后，执行以下命令对软件库进行更新和升级。 apt update apt upgrade 2. 若没有安装tasksel执行以下命令进行安装。 apt install tasksel 3. 执行以下命令使用tasksel安装gnome图形化界面并等待其安装完成。 tasksel install desktop gnomedesktop 4. 执行以下命令设置图形化界面为默认启动。 systemctl setdefault graphical.target 5. 图形化桌面安装后系统禁止root用户登陆，需要新添加子账号用于登陆图像化桌面，此处以user001为例。 adduser user001 除密码外后续信息均可回车跳过，最后输入“Y”确定。 6. 执行reboot命令重启云主机并使用步骤5中创建的子账号登陆即可完成。

本文主要介绍云日志服务SDK接入概述。 SDK主要功能 不同语言的SDK实现逻辑在具体细节上会存在细微差异，但都是对云日志服务API的进一步包装，实现的功能基本一致，SDK的主要功能包括： 跨语言封装 ：云日志服务为各种编程语言提供了统一的API封装库，让您无需关注底层API的调用细节，即可实现高效、安全的日志服务交互。 数字签名自动化 ：封装库内置了数字签名功能，您无需手动处理复杂的签名逻辑，只需提供必要的认证信息，SDK将自动完成签名过程。 ProtoBuffer透明封装 ：在上传日志时，SDK会自动将您的日志数据转换为符合ProtoBuffer格式的二进制数据，让您无需关心具体的ProtoBuffer编码细节。 压缩支持 ：SDK支持日志数据的压缩传输，以提升传输效率和存储效率。默认情况下，SDK会启用压缩模式，默认使用lz4压缩。 统一错误处理 ：云日志服务提供了统一的错误处理机制，让您可以按照您所熟悉的语言习惯来处理API请求中可能出现的异常。 异步请求 ：目前，云日志服务提供的SDK全部具备同步请求方式，确保请求的完整性和顺序性。部分SDK提供异步请求、批量上传等更强大的功能。 这些特性旨在降低使用云日志服务API的复杂性，提高开发效率。更多详细信息，请参考下文提供的接口规范、请求签名、ProtoBuffer格式、错误处理机制等文档。

本章节介绍云容器集群节点CPU高负载故障演练。 背景介绍 在云容器引擎（CCE）环境中，节点（Node）的 CPU 资源是所有运行其上的 Pod 的共享基础。当计算密集型应用、资源限制配置不当、或异常进程（如死循环）消耗大量 CPU 时，会导致节点 CPU 使用率持续处于高位。本演练模拟节点 CPU 资源被持续占用的高压场景，帮助您主动评估业务 Pod 在资源争抢下的表现、检验 HPA（水平Pod自动伸缩）的有效性，并为优化资源配置和应急预案提供数据支持。 基本原理 启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文主要介绍云日志服务SDK接入概述。 SDK主要功能 不同语言的SDK实现逻辑在具体细节上会存在细微差异，但都是对云日志服务API的进一步包装，实现的功能基本一致，SDK的主要功能包括： 跨语言封装 ：云日志服务为各种编程语言提供了统一的API封装库，让您无需关注底层API的调用细节，即可实现高效、安全的日志服务交互。 数字签名自动化 ：封装库内置了数字签名功能，您无需手动处理复杂的签名逻辑，只需提供必要的认证信息，SDK将自动完成签名过程。 ProtoBuffer透明封装 ：在上传日志时，SDK会自动将您的日志数据转换为符合ProtoBuffer格式的二进制数据，让您无需关心具体的ProtoBuffer编码细节。 压缩支持 ：SDK支持日志数据的压缩传输，以提升传输效率和存储效率。默认情况下，SDK会启用压缩模式，默认使用lz4压缩。 统一错误处理 ：云日志服务提供了统一的错误处理机制，让您可以按照您所熟悉的语言习惯来处理API请求中可能出现的异常。 异步请求 ：目前，云日志服务提供的SDK全部具备同步请求方式，确保请求的完整性和顺序性。部分SDK提供异步请求、批量上传等更强大的功能。 这些特性旨在降低使用云日志服务API的复杂性，提高开发效率。更多详细信息，请参考下文提供的接口规范、请求签名、ProtoBuffer格式、错误处理机制等文档。

本小节介绍云堡垒机变更实例规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加数据盘容量。 系统影响 变更规格过程大约需要10分钟，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。 约束限制 只有2.0及以上版本的堡垒机支持提升规格。 当前仅支持同版本、同实例规格内变更资产规格，不支持跨版本变更或跨实例规格变更。 仅支持云堡垒机资产规格升级，暂不支持资产规格降级，若需要降级，请先备份相关数据，退订堡垒机实例后重新订购新实例。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“已关机”时支持变更规格。 计费样例 计费场景： 某用户于2025/01/01购买了一个云堡垒机实例，购买时长1年（在包月总价基础上享受85折优惠），规格如下： 实例类型：单机版 版本：标准版 资产规格：10资产 使用一段时间后，用户发现当前规格无法满足业务需要，于2025/10/01进行升级（还剩3个月到期），需要升级的规格如下： 实例类型：单机版 版本：企业版 资产规格：20资产 计费分析： 新配置价格高于老配置价格，执行升级操作时，您需要支付新老配置的差价。 计算公式：升级费用（新配置价格旧配置价格）剩余周期优惠折扣 本示例中，相关参数如下： 旧配置价格：10资产标准版，标准资费650元/个/月 新配置价格：20资产企业版，标准资费1280元/个/月 剩余周期：3个月 优惠折扣：享受85折优惠 说明 若实例升级时仍在原包年周期内，则升级差价可继续享受原有的包年折扣。 代入公式可得，执行升级时需要支付的费用为：（1280650）×3×0.851606.5元 注意 本样例仅供参考，实际需支付的费用请以云堡垒机（原生版）控制台展示为准。

本节介绍了专属云（计算独享型）可开通的云主机实例类型。 专属云（计算独享型）可开通的云主机实例如下表，举例：通用型88核516GB内存的专属云可开通云主机的实例为S6（CPU内存比为1:1、1:2），具体S6对应的规格可参考“帮助中心”>“弹性云主机”>“产品介绍“>“实例规格”>“通用型“页面查询。 其中“通用型”超分比为1:3，其他类型不支持超分。 规格 vCPU 内存 可开通的云主机实例类型 通用型 336核 321GB S1C1C2M1 通用型 344核 380GB S1C1C2M1 通用型 372核 704GB S3 通用型 388核 516GB S6（CPU内存比为1:1、1:2） 通用型 388核 702GB S6（CPU内存比为1:2、1:4） 注：默认配置是1:2，若需要1:4配置须在工单中备注 通用型 390核 915GB S7n（CPU内存比为1:1、1:2、1:4） 通用计算增强型 74核 148GB C6（CPU内存比为1:2） 通用计算增强型 74核 296GB C6（CPU内存比为1:4） 通用计算增强型 92核 324GB C6s（CPU内存比为1:2） 通用计算增强型 92核 368GB C6s（CPU内存比为1:4） 通用计算增强型 98核 196GB C7n（CPU内存比为1:2） 通用计算增强型 98核 392GB C7n（CPU内存比为1:4） 通用计算增强型 152核 512GB C7t（CPU内存比为1:2、1:4） 通用计算增强型 152核 608GB C7t（CPU内存比为1:4） 内存优化型 76核 608GB M6（CPU内存比为1:8） 内存优化型 98核 784GB M7n（CPU内存比为1:8） 磁盘增强型 92核 328GB D6（CPU内存比为1:4） 磁盘增强型 98核 412GB D7（CPU内存比为1:4） 超高IO型 90核 360GB Ir7n（CPU内存比为1:4） 超大内存型 96核 1920GB E7（CPU内存比为1:20） 鲲鹏系列通用计算增强型 116核 426GB Kc1s（CPU内存比为1:2、1:4） 鲲鹏系列通用计算增强型 160核 640GB Kc2（CPU内存比为1:2、1:4） 鲲鹏系列内存优化型 116核 928GB Km1s（CPU内存比为1:8） 鲲鹏系列超高IO型 116核 392GB Ki1s（CPU内存比为1:4）

本文为您介绍查看云企业路由器实例的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，可查看已创建的云企业路由器列表。 5. 单击云企业路由器实例名称，可以查看云企业路由器的详细信息。

本节主要介绍环境准备 创建微服务引擎前，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且已配置好安全组与子网。VPC为专享版的微服务引擎提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化云上网络部署。 背景介绍 如果用户已有VPC，可重复使用，不需要多次创建。 只有在相同VPC下的客户端才可以访问专享版微服务引擎。 操作步骤 1、登录管理控制台，进入控制中心，选择“网络 > 虚拟私有云”。 2、单击页面右上方的“创建虚拟私有云”，创建虚拟私有云。 3、根据界面提示创建虚拟私有云和子网。 如无特殊需求，界面参数均可保持默认。 创建虚拟私有云时，会同时创建子网，也可额外创建新的子网。

与虚拟私有云的关系 虚拟私有云为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。

操作场景 当磁盘空间不足时，可以对云盘系统盘或云盘数据盘进行扩容。系统盘的大小上限为2TB。扩容方法请参考《云硬盘用户指南》中的“扩容云硬盘容量”章节。 后续操作 扩容成功后，还需要对扩容部分的磁盘分配分区： 对系统盘的扩容后处理请参见《云硬盘用户指南》中“Windows云硬盘扩容后处理”或“Linux云硬盘扩容后处理”章节。 对数据盘的扩容后处理请参见《云硬盘用户指南》中“Windows云硬盘扩容后处理”或“Linux云硬盘扩容后处理”章节。

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 设备标签键，取值范围参考 uuid value 是 Array of Strings 设备标签键所对应的值，最大数量限制为10。 以云主机为例，该字段为云主机的instanceID。 ['9dc489794e1945e2b5235d3c70d516b3']

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 设备标签键，取值范围参考 uuid value 是 Array of Strings 设备标签键所对应的值，最大数量限制为10。 以云主机为例，该字段为云主机的instanceID。 ['9dc489794e1945e2b5235d3c70d516b3']

安全组规则 为了更好地管理安全组的入出方向，您可以设置安全组规则，去控制云服务器的出入向流量。通过配置适当的规则，控制和保护加入安全组的弹性云服务器的访问。 安全组规则可分为入向规则和出向规则。入向规则用于控制流入服务器实例的流量，出向规则用于控制从服务器实例流出的流量。默认安全组会自带一些默认规则，您也可以自定义添加安全组规则。 安全组规则主要遵循白名单机制，具体说明如下： 入方向规则：入方向指外部访问安全组内的云服务器的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且授权策略为“允许”时，允许该请求进入，其他请求一律拦截。通常情况下，您一般不用在入方向配置授权策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。 出方向规则：出方向指安全组内的云服务器访问外部的指定端口。在出方向中放通全部协议和端口，配置全零IP地址，并且策略为“允许”时，允许所有的内部请求出去。0.0.0.0/0表示所有IPv4地址，::/0表示所有IPv6地址。 地域资源池： 对于地域资源池来说，系统会为每个用户默认创建一个安全组，默认安全组包含一系列默认规则，主要是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 默认安全组规则如下表2： 表2 地域资源池默认安全组规则 方向 授权策略 类型 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 Any Any 默认安全组ID (例如：sgxxxxx) 仅允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv6 Any Any 默认安全组ID (例如：sgxxxxx) 仅允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv4 TCP 22 0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 TCP 3389 0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv4 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的通讯状况。 可用区资源池： 对于可用区资源池来说，系统会为每个VPC默认创建一个安全组，默认安全组包含一系列默认规则，主要是在出方向上的数据报文全部放行，入方向访问受限。 默认安全组规则如下表3： 表3 可用区资源池默认安全组规则 方向 授权策略 类型 优先级 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 100 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 100 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 99 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的IPv4地址通讯状况 入方向 允许 IPv6 99 ICMP Any ::/0 使用ping程序测试云服务器之间的IPv6地址通讯状况 入方向 允许 IPv4 99 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 99 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 99 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 99 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 拒绝 IPv4 100 Any Any 0.0.0.0/0 禁止所有IPv4类型的入站流量的数据报文通过。 入方向 拒绝 IPv6 100 Any Any ::/0 禁止所有IPv6类型的入站流量的数据报文通过。

本文帮助您了解创建、挂载和初始化云硬盘的流程。 天翼云云硬盘可以作为系统盘或数据盘挂载至弹性云主机或物理机，其中系统盘会在创建云主机或物理机的过程中默认创建，数据盘可以选择创建云主机或物理机时一起创建，也可以选择单独创建，下面我们将以单独创建数据盘为例介绍云硬盘的整体入门流程，具体流程见下图： 首先进行准备工作，注册天翼云，确保账户余额充足，具体流程参见准备工作。 设置天翼云云硬盘控制台所给出的配置项，包括容量，类型等信息，具体步骤请参见创建云硬盘。 创建好的数据盘需要挂载至云主机或物理机上使用，具体挂载步骤参见挂载云硬盘。 挂载成功后的云数据盘还不能够直接使用，需要在云主机或物理机上对其进行初始化之后才可以使用，请分别参见初始化Windows数据盘和初始化Linux数据盘。

取消共享镜像 操作场景 用户可以取消共享给其他用户的镜像。取消后，存在如下影响： 接受者无法通过管理控制台或API查询到该镜像。 接受者无法使用该镜像创建云主机或云硬盘，或者为已有云主机切换操作系统。 接受者使用共享镜像创建的云主机无法重装操作系统，也不能创建相同配置的云主机。 前提条件 用户已共享私有镜像给其他用户。 操作步骤 1. 登录控制台。 2. 选择“镜像服务”。 进入镜像服务页面。 3. 单击“私有镜像”页签进入镜像列表页面。 4. 在需要取消共享的私有镜像所在行的操作列中，单击“更多”，选择“共享”。 5. 在共享镜像的对话框中单击“取消共享”页签。 6. 勾选需要取消共享的账号名，单击“确定”。 7. 勾选需要取消共享的项目ID，单击“确定”。 添加镜像的共享租户 操作场景 用户可以为共享镜像添加新的共享租户。 前提条件 用户有已共享的私有镜像。 用户已获取要添加的共享租户的账号名（如果该共享租户是专属云用户或多项目用户，需要获取该共享租户的账号名和项目名称）。 操作步骤 1. 登录控制台。 2. 选择“镜像服务”。 进入镜像服务页面。 3. 单击“私有镜像”页签进入镜像列表页面。 4. 单击镜像名称，进入镜像详情页面。 5. 单击“添加租户”。 6. 在“添加租户”窗口，输入新增共享租户的账号名（如果新增共享租户为专属云用户或多项目用户，请选择对应的项目名称），单击“添加”。 如果需要添加多个共享租户，请继续输入共享租户的账号名（如果新增共享租户为专属云用户或多项目用户，请选择对应的项目名称），单击“添加”。

本文介绍了如何使用Nginx代理天翼云弹性文件服务。 应用场景 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSDlike协议下发行。其特点是占有内存少，并发能力强，事实上Nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用Nginx网站用户有百度、京东、新浪、网易、腾讯、淘宝等。 本案例中，使用一台Nginx做反向代理服务器，三台Nginx做负载均衡的代理服务。因为使用用户可能非常多，所以需要做负载均衡。后端使用天翼云的弹性文件服务。天翼云弹性文件服务用于存储文件，如图片、视频、镜像回源文件或者一些用户的静态数据等。不同的Nginx代理服务器之间共享访问文件系统数据。 方案使用云产品 弹性文件服务，弹性云主机 方案架构 配置的架构如下图： 准备工作 在开始之前需要创建一个虚拟机私有云VPC，一个文件系统，四台云主机，其中一台做反向代理服务器，三台做负载均衡的代理服务。具体操作如下： 1. 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 2. 创建该VPC下的弹性云主机，操作系统为Linux，此处以CTyunOS 2.0.1为例演示，具体操作步骤参见创建弹性云主机。 3. 创建该VPC下的文件系统，文件系统的协议类型为NFS，具体操作步骤参见创建文件系统。

云日志服务与其他服务之间关系，如表1所示。 表 1 与其他服务之间关系 交互功能 相关服务 通过CTS服务，您可以记录与云日志服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，简称CTS） 通过OBS服务，您可以将需要长期存储的日志转储至OBS桶中，确保日志不丢失，实现数据持久化。 对象存储服务（Object Storage Service，简称OBS） 通过AOM服务，可以进行站点访问统计，可以将相关日志上报给AOM，对其进行监控与告警。 应用运维管理（Application Operations Management，简称AOM） 通过IAM服务，您可以给账号中的子用户授予使用云日志服务的权限。 统一身份认证服务（Identity and Access Management，简称IAM）

本文主要介绍弹性伸缩服务的计费模式。 目前天翼云免费提供，但弹性负伸缩组内的弹性云主机、云硬盘、虚拟私有云、弹性IP、带宽等云产品需按照相关云产品订购页面列明公示信息支付相应服务费用。

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 操作步骤： 步骤一： 登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二： 进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三： 点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本节介绍了弹性云主机可以做什么。 弹性云主机与传统硬件服务器一样，可以部署任意业务应用，例如：邮件系统、WEB系统、ERP系统等。弹性云主机创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云主机。

本文向您介绍如何查看VPN的云审计日志。 用户进入贵州资源池云审计服务创建管理类追踪器后，系统开始记录VPN服务的资源操作。云审计服务管理控制台会保存最近7天的操作记录。 如何查看审计日志，请参考《云审计服务用户指南》。

请求示例 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "groupID": 489, "protectStatus": 1, "instanceIDList": [ 339 ] } 响应示例 json { "returnObj": { "instanceIDList": [ 339 ] }, "errorCode": "", "message": "SUCCESS", "description": "成功", "statusCode": 800 } 错误码 errorCode 描述 Scaling.Group.NotFound 未找到弹性伸缩组信息 Scaling.Group.ProtectStatusNotSupported 不支持该实例保护模式 Scaling.Group.IdListIsNone 云主机列表为空 Scaling.Group.IdListTypeError 云主机列表类型错误 Scaling.Group.IdListNotExit 云主机列表不存在

本文将为您介绍如何为云硬盘添加标签。 背景知识 标签由标签“键”和标签“值”构成。 标签“键”：“键”最大长度不能超过128个字符，由英文字母、数字、中划线、下划线、特殊字符组成。且单个云硬盘中“键”值不能重复。 标签“值”： “值”最大长度不超过128个字符。由英文字母、数字、中划线、下划线、特殊字符组成。 单个云硬盘资源最多可添加10个标签。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在云硬盘页面中，点击待添加标签的云硬盘所在行的“操作>更多>编辑标签”。 5. 弹出“编辑标签”窗口，键入标签“键”，例如，输入“test”，键入标签“值”，例如“1”，点击“确定”。 6. 此时，在此云硬盘的标签信息处，点击标签图标可看到“test：1”的标签信息。

本文介绍云硬盘回收站的计费方式。 回收站计费说明 回收站中的云硬盘采用按需付费的方式计费，先使用，后付费。 结算方式 支持按秒计费，按小时结算，不足一小时以实际使用时长为准。 回收站服务计费细则 云硬盘回收站根据回收站中的云硬盘的类型、容量和云硬盘在回收站中实际保留时长计费，具体请参见计费模式。 开始计费：云硬盘被删除后进入回收站时开始计费。 停止计费：云硬盘从回收站销毁后停止计费。 不同类型的云硬盘价格如下： 产品规格 按需标准价格（元/G/小时） 普通IO（SATA） 0.0005 高IO（SAS） 0.0009 通用型SSD 0.00097 超高IO（SSD） 0.0017 极速型SSD 0.0042 欠费 当账户欠费时，已在回收站中的云硬盘会进入冻结保留期，销毁时间以回收站保留期（自进入回收站起保留7天）和冻结保留期（自欠费起保留15天）中最早达到销毁条件的时间为准。 欠费期间，回收站中的资源仍然持续扣费，直至资源被系统销毁或用户手动销毁。

本文为您解释防火墙规则配置示例。 与弹性云主机不同，每台轻量云主机都可以配置一套独立的防火墙规则，不同的轻量型云主机之间的防火墙规则不受干扰。您可根据实际业务需求设置防火墙规则。如下示例中，出方向默认全通，仅介绍入方向规则配置方法。 允许外部访问指定端口 场景举例 部署业务之后，为了让指定业务端口（例如：3300）可以被外部访问，您可以添加防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 3300 0.0.0.0/0 仅允许特定IP地址远程连接轻量型云主机 场景举例 为了防止轻量型云主机被网络攻击，用户可以修改远程登录端口号，并设置防火墙规则只允许特定的IP地址远程登录到轻量型云主机。 防火墙配置方法 以仅允许特定IP地址（例如，192.168.0.4）通过SSH协议访问Linux操作系统的轻量型云主机的22端口为例，防火墙规则如下所示。 方向 协议 / 应用 端口 源地址 入方向 SSH（22） 22 IPv4CIDR 例如：192.168.0.4/24 轻量型云主机作Web服务器

本文为您介绍如何对已购轻量型云主机进行退订操作。 操作场景 如果您的业务使用中止或结束，不再需要轻量型云主机，请退订该轻量型云主机避免继续产生费用。 前提条件 轻量型云主机状态为关机。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，在目标轻量型云主机“操作”列下拉“更多”选择“退订”。 您也可以单击目标主机“实例名称”进入目标主机详情页，单击右侧顶部“更多”，下拉选择“退订”进行退订。 5. 页面自动跳转到退订申请界面，在退订申请界面中核对轻量型云主机信息无误，选择“退订原因”并勾选“我已确认”后，单击“退订”提交退订。 说明 在申请退订前，请做好主机数据备份工作。

介绍云SSO计费方式 云SSO当前为免费功能，开通后即可使用。

本节介绍了默认安全组和规则。 默认安全组和规则 系统会为每个用户默认创建一个Sysdefault安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的实例无需添加规则即可互相访问。 如下图所示。 默认安全组 默认安全组Sysdefault规则如下表所示： 默认安全组Sysdefault规则 方向 优先级 策略 协议 端口范围 目的地址/源地址 说明 ::::::: 出方向 100 允许 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 100 允许 全部 全部 源地址：当前安全组名称，例如Sysdefault 允许同样使用当前安全组的云主机之间通过任意端口和规则互访。 入方向 100 允许 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 100 允许 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 首次创建弹性云主机，系统新建虚拟私有云vpcdefault时会默认新建两个SysWebServer和SysFullAccess的安全组，对应开放的安全组规则如下所示。 SysWebServer安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 入方向 ICMP 全部 源地址：0.0.0.0/0 允许Ping命令。 入方向 TCP 443 源地址：0.0.0.0/0 网页浏览端口,主要是用于HTTPS服务。 SysFullAccess安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 全部 全部 源地址：0.0.0.0/0 允许所有入站流量的数据报文通过。

本文为您介绍修改云企业路由器实例的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，可查看已创建的云企业路由器列表。 5. 单击云企业路由器实例名称，进入云企业路由器的详细页面。 6. 在云企业路由器详情页面中，然后点击名称和描述后的进行修改，修改完成后，点击“✓”，可保存修改内容。