公网NAT网关、弹性IP、VPC内弹性云主机与VPC是什么样的关系？ 公网NAT网关、弹性IP、VPC内弹性云主机与VPC之间的关系如下： 1. VPC提供安全隔离的用户网络环境，在VPC内，用户可以自由配置子网、路由表、安全组等网络资源。 2. 弹性IP是一种公网IP资源，可以与云主机绑定，为云主机提供公网访问能力。弹性IP可以解绑并重新绑定到其他资源，例如公网NAT网关上，实现公网IP的灵活分配。 3. 公网NAT网关可以为VPC内的弹性云主机实例提供公网访问能力。 4. VPC内弹性云主机是一种计算服务，可以为用户提供可扩展的、安全的、高性能的虚拟服务器。ECS实例可以与弹性IP绑定，以实现公网访问。也可通过NAT网关访问公网。 总结：公网NAT网关用于提供虚拟私有云访问互联网的能力，弹性IP为云主机提供公网访问能力，而VPC内弹性云主机则是用于提供计算能力的虚拟服务器。在实际应用中，这些资源可以相互配合，实现虚拟私有云中的云主机实例安全访问互联网的需求。 公网NAT网关如何实现高可用性？ 天翼云公网NAT网关具备高可用性，支持秒级故障恢复收敛。 天翼云公网NAT网关部署在高可用物理服务器上，采用主备集群模式部署，集群内状态数据实时同步，单网元发生故障时，系统会自动切换业务到集群内备用网元，业务秒级切换，支持用户业务快速恢复。

本章节主要介绍通过Windows弹性云主机访问。 MRS支持通过Windows弹性云主机访问开源组件Web站点。该方式操作较为复杂，推荐不支持EIP功能的MRS集群使用。 1. 在MRS管理控制台，单击“集群列表”。 2. 在 “现有集群” 列表中，单击指定的集群名称。 记录集群的“可用区”、“虚拟私有云”、“集群控制台地址”、“安全组”。 说明 集群控制台地址获取方式：远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示集群控制台地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到集群控制台地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 3. 在ECS管理控制台，创建一个新的弹性云主机。 弹性云主机的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 选择一个Windows系统的公共镜像。例如，选择一个标准镜像“Windows Server 2012 R2 Standard 64bit(40GB)”。 其他配置参数详细信息，请参见“弹性云主机 > 用户指南 > 快速入门 > 创建并登录Windows弹性云主机”。 说明 如果ECS的安全组和MRS集群的“安全组”不同，用户可以选择以下任一种方法修改配置： 将ECS的安全组修改为MRS集群的安全组，请参见“ 用户指南 > 安全组 > 更改安全组”。 在集群Master节点和Core节点的安全组中添加两条安全组规则使ECS可以访问集群，“协议”需选择为“TCP”，“端口”需分别选择“28443”和“20009”。请参见“虚拟私有云 > 用户指南 > 安全性 > 安全组 > 添加安全组规则”。 4. 在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 具体请参见“虚拟私有云>用户指南 > 弹性公网IP > 为弹性云主机申请和绑定弹性公网IP”。 5. 登录弹性云主机。 登录ECS需要Windows系统的帐号、密码，弹性IP地址以及配置安全组规则。具体请参见“弹性云主机> 用户指南 > 实例 > 登录弹性云主机 > 登录Windows弹性云主机”。 6. 在Windows的远程桌面中，打开浏览器访问Manager。 例如Windows 2012操作系统可以使用Internet Explorer 11。 Manager访问地址形式为 https:// 集群控制台地址 :28443/web 。访问时需要输入MRS集群的用户名和密码，例如“admin”用户。 说明 集群控制台地址：远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示集群控制台地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到集群控制台地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 如果使用其他MRS集群用户访问Manager，第一次访问时需要修改密码。新密码需要满足集群当前的用户密码复杂度策略。 默认情况下，在登录时输入5次错误密码将锁定用户，需等待5分钟自动解锁。 7. 请参考开源组件Web站点页面提供的站点地址访问开源组件Web站点。

参数 说明 云间高速 请选择云专线关联的云间高速实例。 云专线（CDA） 请选择需要探测的云专线实例。 云侧IP 云侧IP地址可以是任意一个没有被使用的IP地址，但不能与云间高速中要互通的IP地址冲突，也不能和云专线实例的云侧、客户侧IP地址冲突。 客户侧IP 客户侧IP地址为云专线实例中客户侧IP地址。 发包时间间隔 指定健康检查发送连续探测报文的时间间隔。单位：秒。取值范围：2~3。默认值：2。 探测报文数 指定健康检查发送连续探测报文的个数。单位：个。取值范围：3~8。默认值：8。 切换路由 是否开启健康检查的路由切换功能。默认选择开启。健康检查在探测到云专线链路故障时，如果云间高速实例中存在冗余链路，健康检查则会立即切换使用可用链路。若关闭本功能，请确保已设置其他冗余方案。否则，若物理专线链路发生故障，可能导致网络中断。

步骤三： 设置本地主机的凭据 1、 打开本地主机的控制面板，选择“凭据管理器进行Windows凭据添加。依次输入云服务器的IP地址、云服务器的登录用户名、云服务器的登录密码。 步骤四： 关闭云服务器密码保护共享 1、登录Windows云服务器。打开左下角的“开始”菜单，选择“控制面板 > 网络和Internet > 网络和共享中心 > 更改高级共享配置。在“密码保护的共享”页签下选择“关闭密码保护共享”。单击保存更改。

本文为您介绍云堡垒机(原生版)的权限管理能力,支持通过IAM实现对云堡垒机(原生版)的访问控制、权限分配。 云堡垒机（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云堡垒机（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云堡垒机（原生版）IAM策略说明 天翼云为云堡垒机（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcbh admin 云堡垒机（CBH）的全读写访问权限。 系统策略 全局级 ctcbh viewer 云堡垒机（CBH）的只读访问权限。 系统策略 全局级

轻量型云主机目前仅支持套餐升级操作，升配计费规则与其他产品保持一致。 轻量型云主机升配计费规则详情请参考天翼云帮助中心费用中心变更。 套餐升级操作详情请参考天翼云帮助中心轻量型云主机用户指南升级轻量型云主机。

操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源，具体权限请在15.3 命名空间权限中配置。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 evs::get 云硬盘所有资源详情的查看权限。可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 evs::list 云硬盘所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。

途径 说明 【媒体库】入口 使用云点播控制台操作。 云点播截图API 调用云点播API进行截图。

本文介绍弹性云主机怎样停止计费。 按量计费弹性云主机根据使用时间计费，与之绑定的云硬盘（包括系统盘、数据盘）、弹性公网IP、带宽等资源按各自产品的计费方法进行计费。如果用户不再使用该产品，需彻底停止计费，请直接删除相应产品。 包年包月弹性云主机用户在购买时一次性付费，到期自动停止计费。若在到期日期之前想进行退订，当前天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，具体细则可参考 费用中心退订管理 。

本节介绍了通过镜像创建云主机的流程。 1、登录云主机控制台。 2、选择“镜像服务”。进入镜像服务页面。 3、单击“公共镜像”、“私有镜像”或“共享镜像”页签进入对应的镜像列表。 4、在镜像所在行的“操作”列下，单击“申请主机”。 5、创建云主机的详细操作请参见《弹性云主机用户指南》。 6、完成通过镜像创建云主机。

本文介绍CentOS 8系列操作系统的云主机安装图像化界面的操作流程。 约束与限制 弹性云主机安装图形化界面前，请确保弹性云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 操作步骤 本文操作CentOS8.4 64位弹性云主机为例。 1. 登录弹性云主机。 2. 执行以下命令，安装图形桌面组件。 yum groupinstall "Server with GUI" 说明 安装前请确弹性云主机可以连通互联网，可以通过申请并绑定弹性IP连通互联网。 安装完成示例： 3. 安装完成后，执行以下命令设置默认启动级别为graphical.target。 systemctl setdefault graphical.target 设置命令示例： 4. 执行以下命令启动graphical.target。 systemctl start graphical.target 5. 重启弹性云主机。 通过控制台提供的远程登录方式连接主机，并按照桌面启动的提示设置语言、时区、用户名及密码等。 配置成功示例：

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。

本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

服务名称 说明 交互功能 相关内容 弹性负载均衡（Elastic Load Balance） 当配置了负载均衡服务后，弹性伸缩组在添加或移除云服务器时，自动会为云服务器绑定或解绑负载均衡监听器。 使伸缩组中每一个实例均可分配到应用程序流量 云监控服务（Cloud Eye） 弹性伸缩配置了告警触发策略时，会根据云监控的告警条件触发弹性伸缩活动。 通过监控伸缩组内实例的状态指标调节资源。 弹性云服务器（Elastic Cloud Server） 弹性伸缩活动中添加的云服务器可以通过弹性云服务器进行管理和维护。 自动调整弹性云服务器数量 云审计服务（Cloud Trace Service） 开通云审计服务后，可以记录弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 日志审计

如何安装HBlock CSI插件。 根据镜像导入的不同，HBlock CSI插件使用脚本方式安装时，可以根据情况选择其中一种方法： 逐台导入镜像的方式：适用于Kubernetes集群的节点数量不多的部署场景。 Docker私仓导入镜像的方式：适用于节点多的部署场景。 前置条件 安装驱动前： 执行kubectl get csidrivers，确认无同名驱动配置；若存在，则删除。 安装HBlock CSI时，需打开iscsionhost（1.5.1之前版本不支持设置该参数）的开关，即iscsid、multipathd守护进程由宿主机启动，需要配置宿主机的iscsid和multipathd。 配置宿主机的iscsid和multipathd步骤如下： 1. 在Kubernetes所有的slave节点宿主机安装iSCSI工具，并配置/etc/iscsi/iscsid.conf。 1. 安装宿主机的iSCSI工具。 如果操作系统是CentOS/RHEL，请安装iscsiinitiatorutils，安装命令如下： plaintext yum y install iscsiinitiatorutils 注意 安装iSCSI initiator 6.2.087410 或以上版本。 如果操作系统是Ubuntu/Debian，安装命令如下： plaintext apt install openiscsi 2. 修改/etc/iscsi/iscsid.conf配置文件。 plaintext 如需启用iscsi target迁移自动恢复， 那么得将iscsid.safelogout设置为No iscsid.safelogout No 3. 在各宿主机启动iSCSI进程。 plaintext systemctl enable iscsid systemctl restart iscsid 确认iSCSI进程状态正常 systemctl status iscsid 2. 在Kubernetes所有的slave节点宿主机配置MPIO。 1. 安装 MPIO。 说明 如果已安装MPIO，忽略此步骤。 对于CentOS： plaintext yum y install devicemappermultipath devicemappermultipathlibs 对于Ubuntu： plaintext apt install multipathtools 2. 配置 MPIO。 1. 复制/usr/share/doc/devicemappermultipath X.Y.Z /multipath.conf （其中X.Y.Z 为multipath的实际版本号，请根据实际情况查找multipath.conf）到/etc/multipath.conf。 2. 在/etc/multipath.conf中增加如下配置： 注意 配置文件multipath.conf中，如果multipath部分与devices部分中有相同参数，multipath中的参数值会覆盖devices中的参数值。为了正常使用HBlock卷，需要删除multipath中的与下列字段相同的参数。 plaintext defaults { userfriendlynames yes findmultipaths yes uidattribute "IDWWN" } devices { device { vendor "CTYUN" product "iSCSI LUN Device" pathgroupingpolicy failover pathchecker tur pathselector "roundrobin 0" hardwarehandler "1 alua" rrweight priorities nopathretry queue prio alua } } 说明 userfriendlynames可以设置为yes，也可以设置为no。一旦设定，不能更改。 userfriendlynames yes： 系统根据/etc/multipath/bindings中的设置为多路径设备分配别名，默认格式为mpathn（例如mpatha、mpathb等）。 若同时设置aliasprefix " "，则别名以前缀重新编号，例如：设置aliasprefix "disk"，多路径设备的别名是/dev/mapper/diska、/dev/mapper/diskb等。 建议前缀使用默认设置，易于维护。 userfriendlynames no：系统会使用 WWID （全球唯一标识符）作为多路径设备的别名。 3. 重启multipathd服务。 对于CentOS： plaintext systemctl restart multipathd systemctl enable multipathd 对于Ubuntu： plaintext systemctl restart multipathtools.service systemctl enable multipathtools.service

本文主要介绍故障类问题 为什么创建组织失败？ 问题现象：创建组织失败，页面提示该组织已经存在，但在“组织管理”页面没有查询到该组织。 解决办法：组织名称全局唯一，即当前区域下，组织名称唯一。 创建组织时如果提示组织已存在，可能该组织名称已被其他用户使用，请重新设置一个组织名称。 CCE工作负载拉取SWR镜像异常，提示为“未登录” 当CCE工作负载无法正常拉取SWR的镜像，且提示“未登陆”时，请排查该工作负载的yaml文件中是否存在“imagePullSecrets”字段，且name参数值需固定为defaultsecret。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginximagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret 为什么登录指令执行失败？ 登录指令执行失败有以下几种情况： 1. 容器引擎未安装正确，报如下所示错误： “docker: command not found” 解决方法： 重新安装docker容器引擎。 由于容器镜像服务支持容器引擎1.11.2及以上版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 2. 临时登录指令已过期或登录指令中区域项目名称、AK、登录密钥错误，报如下所示错误： “unauthorized: authentication required” 解决方法： 登录容器镜像服务控制台，在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”获取登录指令。 a. 获取临时的登录指令：单击“生成临时登录指令”，在弹出的页面中单击复制登录指令。 b. 获取长期有效的登录指令：单击“如何获取长期有效登录指令”，具体方法请参见用户指南 > 镜像管理> 获取长期有效登录指令。 3. 登录指令中镜像仓库地址错误，报如下所示错误： “Error llgging in to v2 endpoint, trying next endpoint: Get dial tcp: lookup {{endpoint}} on xxx.xxx.xxx.xxx:53 : no such host” 解决方法： c. 修改登录指令中的镜像仓库地址。 镜像仓库地址格式: registry.区域项目名称.ctyun.cn，如“苏州”对应的镜像仓库地址为registry.cnjssz1.ctyun.cn。 d. 获取临时登录指令。 4. x509: certificate has expired or is not yet valid 长期有效登录指令中AK/SK被删除导致，请使用有效的AK/SK生成登录指令。 5. x509: certificate signed by unknown authority 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果服务端证书不是权威机构颁发的，则会报如下错误：x509: certificate signed by unknown authority 解决方法： 如果用户信赖服务端，跳过证书认证，那么可以手动配置Docker的启动参数，配置方法如下： CentOS： 修改“/etc/docker/daemon.json”文件（如果没有，可以手动创建），在该文件内添加如下内容： { "insecureregistries": ["{镜像仓库地址}"] } Ubuntu： 修改“/etc/default/docker”文件，在DOCKEROPTS配置项中增加如下内容： DOCKEROPTS"insecureregistry {镜像仓库地址}" EulerOS： 修改“/etc/sysconfig/docker”文件，在INSECUREREGISTRY配置项中增加如下内容： INSECUREREGISTRY'insecureregistry {镜像仓库地址}' 说明 镜像仓库地址支持域名和IP形式。 域名：registry.区域项目名称.ctyun.cn。例如“苏州”的镜像仓库地址为：registry.cnjssz1.ctyun.cn。 IP：可通过ping镜像仓库地址（域名形式）获取。 配置完成后，执行systemctl restart docker重启容器引擎。

Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志，包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。 前提条件 防护网站已接入WAF。 约束条件 下载防护事件文件时，如果您本地安装的安全软件拦截了下载文件，请关闭该软件后重新下载防护事件文件。 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。 如果您将防护网站的“工作模式”切换为“暂停防护”模式，WAF将对该防护网站所有的流量请求只转发不检测，同时，日志也不会记录。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。 “防护事件趋势图”：展示所选网站在选择的时间段内WAF的防护情况。 “TOP10统计”：针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计，单击可复制统计图表的数据。 6. 在“防护事件列表”中，查看防护详情。 根据筛选条件字段匹配值进行筛选，可设置多项匹配条件，单击“确定”后，匹配条件会展示在事件列表的上方，条件字段参数说明如下表所示。 支持筛选搜索的条件字段： 参数名称 参数说明 事件ID 标识该防护事件的ID。 事件类型 发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。 规则ID 内置Web基础防护规则ID。 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 人机验证：CC防护规则中，“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示，输入正确的验证码，请求将不受访问限制。 源IP Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 单击，可选择防护事件列表展示的字段。 防护事件列表可展示字段参数说明： 参数 说明 示例 ::: 时间 本次攻击发生的时间。 2021/02/04 13:20:04 源IP Web访问者的公网IP地址（攻击者IP地址）。 防护域名 被攻击的防护域名。 www.example.com 命中规则 内置Web基础防护规则ID。 URL 攻击的防护域名的URL。 /admin 事件类型 发生攻击的类型。 SQL注入攻击 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。 拦截 在目标事件的“操作”列单击“详情”，可查看目标域名攻击事件详情。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本文将会为您介绍VPC与其他虚拟私有云、公网(Internet)、本地数据中心互连的相关内容。 天翼云虚拟私有云提供丰富的接入方式，本文将会为您介绍VPC之间，VPC与公网、本地数据中心互通的相关内容。 连接其他VPC 您可以使用下表中的产品或功能，连接两个不同的虚拟私有云。 云产品 应用场景 描述 优势 对等连接 同区域的VPC互连 对于同一区域的VPC，可以通过对等连接进行互连，同一帐号与不同帐号的连接方式略有差异。 低成本，VPC对等连接免费 低延迟。 云间高速 跨区域的VPC互连 对于不同区域的VPC，不区分是否同一帐号，都可以互连，跨区域连接实现云上网络。 低时延高速率。 云网紧密融合。 高扩展性。 高安全性。 虚拟专用网络VPN 使用公网低成本连接跨区域VPC VPN连接（Virtual Private Network）用于搭建用户本地数据中心与天翼云VPC之间便捷、灵活， 即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。 加密通道，安全性高。 低成本。 配置简单。 连接公网 您可以使用下表中的产品或功能，将VPC和公网（Internet）进行连接。 云产品 应用场景 描述 优势 弹性IP 单个ECS连接公网 弹性IP是可以独立申请的公网IP地址， 将弹性IP地址和子网中关联的弹性云主机绑定和解绑， 可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 支持灵活绑定云资源。 支持IPv4、IPv6双栈访问公网能力。 灵活调整网络带宽。 独立管理弹性IP生命周期。 支持多种计费方式。 NAT网关（NAT Gateway） 多个ECS共享弹性公网IP连接公网 NAT网关能够为虚拟私有云内的计算实例提供网络地址转换服务， 使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹 性云主机提供互联网服务。 灵活部署。 简单易用。 降低成本。 高性能。 高可用。 弹性负载均衡(CTELB, Elastic Load Balancing) 通过将访问流量均衡分发到多个ECS的方式 对外提供服务，比如社交媒体等高并发访问场景 弹性负载均衡通过将访问流量自动分发到多台云主机，扩展应用 系统对外的服务能力，实现更高水平的应用程序容错性能。 高性能。 高可用。 支持TCP、UDP、HTTP和HTTPS多种协议。 高可靠。 简单易用。 低成本。

前提条件 已开通云点播产品。 至少创建了一个点播实例。 使用云点播原生API/SDK进行开发。 账号属性为主账号。 操作步骤 进入云点播控制台，选择左侧导航栏的【开发配置】–【密钥管理】【原生密钥】。您可以在该页面看到当前原生API的所有密钥清单（如下图所示）。关于使用该AK/SK密钥对生成鉴权代码的相关操作，可以参考签名应用及示例（V2版本）和鉴权签名及示例（V4版本）。 说明 自2024年10月CTIAM割接之后，您需要在CTIAM控制台为主、子用户添加原生密钥，详情可查看 由CTIAM控制台创建的密钥，将可以支持原生API接口形式。您需要在CTIAM控制台完成禁用、删除、添加等操作，云点播控制台仅做密钥展示。当CTIAM控制台删除了密钥，云点播控制台会同步删除对应的密钥信息。 割接前在云点播控制台创建的密钥，可以继续使用。您可以在云点播控制台对这些存量密钥做【禁用】、【删除】等操作。但请注意，一旦密钥删除将不可恢复，请谨慎操作。 子用户需要由主账号提供对应的AK/SK。云点播控制台不再为子用户提供展示入口。 功能 说明 :: Access key 调用云点播原生API时的身份标识。请妥善保管。 Secret access key 用于生成云点播原生API签名和验证用户身份的密钥。请妥善保管。 状态 该AK/SK密钥对的启用状态。 创建时间 该AK/SK密钥对的创建时间。 操作 【禁用】将当前AK/SK密钥对置为不可用状态。【删除】删除当前选择的AK/SK密钥对。仅对云点播产品创建的存量密钥有效。 注意 1. 本页面AK/SK密钥对仅作用于原生API/SDK。 2. 每一组密钥对的权限一致，适用于该账户下开通的所有点播实例。 3. 当您同时启用多个点播实例时，可能会出现偶发性的AK/SK权限异常操作。当遇到此问题时，您可以通过【禁用】该组AK/SK，再重新【启用】即可恢复。

MongoDB>DDS 表 预检查一览表 分类 预检查项 检查项详情 权限类 源数据库权限 全量迁移需要具备如下最小权限： − 副本集：连接源数据库的用户需要有admin库的readAnyDatabase权限。 − 单节点：连接源数据库的用户需要有admin库的readAnyDatabase权限。 − 集群：连接源数据库的用户需要有admin库的readAnyDatabase权限，有config库的read权限。 − 如果需要迁移源数据库用户和角色信息，连接源数据库和目标库数据库的用户需要有admin数据库的系统表system.users、system.roles的read权限。 全量+增量迁移需要具备如下最小权限： − 副本集：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 − 单节点：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 − 集群：连接源数据库mongos节点的用户需要有admin库的readAnyDatabase权限，有config库的read权限，连接源数据库分片节点的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 − 如果需要迁移源数据库用户和角色信息，连接源数据库和目标库数据库的用户需要有admin数据库的系统表system.users、system.roles的read权限。 权限类 目标数据库权限 连接目标数据库的用户需要有admin库的dbAdminAnyDatabase权限，有目标数据库的readWrite权限。 对于目标数据库是集群的实例，迁移账号还要有admin库的clusterManager权限。 版本类 源数据库版本 支持3.2、3.4、3.6、4.0、4.2、4.4版本。 版本类 目标数据库版本 支持3.4、4.0、4.2、4.4版本。 版本类 迁移版本检查 仅支持目标数据库版本等于或高于源数据库版本。 增量迁移类 Oplog开启 增量迁移时，源数据库的Oplog日志必须打开。 增量迁移类 Oplog保留时长 在磁盘空间允许的情况下，建议源数据库Oplog保存时间越长越好，建议为3天。 增量迁移类 Balancer关闭 如果迁移任务是源数据集群的增量，则源数据必须关闭Balancer。 增量迁移类 孤儿文档检查 如果是源数据为集群的全量+增量迁移任务，则源数据库必须关闭Balancer并清理孤儿文档。 目标数据库检查 磁盘空间检查 目标数据库实例必须有足够的磁盘空间。 目标数据库检查 磁盘空间检查 集群到集群的全量迁移，如果源数据库的集群没有开启分片，则需要保证目标数据库主shard节点的磁盘空间大于源数据库数据大小。 目标数据库检查 状态检查 目标数据库实例状态必须正常。 目标数据库检查 chunk数目检查 检查目标数据库的最大chunk数目是否足以支撑源库数据的分片分裂，当chunk个数达到目标库的最大支撑数目时，chunk不再分裂，会影响写入性能。 一致性检查 固定集合检查 检查源库和目标库数据库固定集合是否一致，若不一致，则导致迁移失败。 迁移对象类 关联对象检查 相互关联的数据对象要确保同时迁移，避免迁移因关联对象缺失，导致迁移失败。 迁移对象类 角色依赖检查 在进行用户迁移时，若所选迁移的用户与某些角色存在依赖关系，需要同时选择迁移该用户及所依赖的角色，否则会导致迁移失败。 迁移对象类 账号依赖检查 在进行用户迁移时，若所选迁移的用户与某些角色存在依赖关系，需要同时选择迁移该用户及所依赖的角色，否则会导致迁移失败。 迁移对象类 同名检查 目标数据库不能存在与源数据库同名的数据库下的同名非空集合。 迁移对象类 同名检查 目标数据库不能存在和源数据库同名数据库下的同名视图。 迁移对象类 名称检查 源数据库的库名不能包含/."$和空格，集合名和视图名中不能包含$字符或以system.开头。 迁移对象类 复合哈希索引检查 源库为4.4版本集群时，不支持复合哈希索引，不支持复合哈希分片键。 源库为4.4版本副本集时，不支持复合哈希索引。 迁移对象类 复合哈希分片键检查 源库为4.4版本集群时，不支持复合哈希索引，不支持复合哈希分片键。 源库为4.4版本副本集时，不支持复合哈希索引。 迁移对象类 索引检查 源库若存在没有索引（id）的集合，可能导致迁移失败。 迁移对象类 TTL索引检查 TTL索引会因为源数据库和目标库数据的时区，时钟不一致导致迁移后数据不一致。 迁移对象类 索引个数检查 索引的个数会影响整个迁移的时间，检查源数据库是否存在索引个数大于10的集合，若存在会影响迁移速度。

分类 预检查项 检查项详情 权限类 源数据库权限 全量迁移需要具备如下最小权限： − 副本集：连接源数据库的用户需要有admin库的readAnyDatabase权限。 − 单节点：连接源数据库的用户需要有admin库的readAnyDatabase权限。 − 集群：连接源数据库的用户需要有admin库的readAnyDatabase权限，有config库的read权限。 − 如果需要迁移源数据库用户和角色信息，连接源数据库和目标库数据库的用户需要有admin数据库的系统表system.users、system.roles的read权限。 全量+增量迁移需要具备如下最小权限： − 副本集：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 − 单节点：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 − 集群：连接源数据库mongos节点的用户需要有admin库的readAnyDatabase权限，有config库的read权限，连接源数据库分片节点的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 − 如果需要迁移源数据库用户和角色信息，连接源数据库和目标库数据库的用户需要有admin数据库的系统表system.users、system.roles的read权限。 权限类 目标数据库权限 连接目标数据库的用户需要有admin库的dbAdminAnyDatabase权限，有目标数据库的readWrite权限。 对于目标数据库是集群的实例，迁移账号还要有admin库的clusterManager权限。 版本类 源数据库版本 支持3.2、3.4、3.6、4.0、4.2、4.4版本。 版本类 目标数据库版本 支持3.4、4.0、4.2、4.4版本。 版本类 迁移版本检查 仅支持目标数据库版本等于或高于源数据库版本。 增量迁移类 Oplog开启 增量迁移时，源数据库的Oplog日志必须打开。 增量迁移类 Oplog保留时长 在磁盘空间允许的情况下，建议源数据库Oplog保存时间越长越好，建议为3天。 增量迁移类 Balancer关闭 如果迁移任务是源数据集群的增量，则源数据必须关闭Balancer。 增量迁移类 孤儿文档检查 如果是源数据为集群的全量+增量迁移任务，则源数据库必须关闭Balancer并清理孤儿文档。 目标数据库检查 磁盘空间检查 目标数据库实例必须有足够的磁盘空间。 目标数据库检查 磁盘空间检查 集群到集群的全量迁移，如果源数据库的集群没有开启分片，则需要保证目标数据库主shard节点的磁盘空间大于源数据库数据大小。 目标数据库检查 状态检查 目标数据库实例状态必须正常。 目标数据库检查 chunk数目检查 检查目标数据库的最大chunk数目是否足以支撑源库数据的分片分裂，当chunk个数达到目标库的最大支撑数目时，chunk不再分裂，会影响写入性能。 一致性检查 固定集合检查 检查源库和目标库数据库固定集合是否一致，若不一致，则导致迁移失败。 迁移对象类 关联对象检查 相互关联的数据对象要确保同时迁移，避免迁移因关联对象缺失，导致迁移失败。 迁移对象类 角色依赖检查 在进行用户迁移时，若所选迁移的用户与某些角色存在依赖关系，需要同时选择迁移该用户及所依赖的角色，否则会导致迁移失败。 迁移对象类 账号依赖检查 在进行用户迁移时，若所选迁移的用户与某些角色存在依赖关系，需要同时选择迁移该用户及所依赖的角色，否则会导致迁移失败。 迁移对象类 同名检查 目标数据库不能存在与源数据库同名的数据库下的同名非空集合。 迁移对象类 同名检查 目标数据库不能存在和源数据库同名数据库下的同名视图。 迁移对象类 名称检查 源数据库的库名不能包含/."$和空格，集合名和视图名中不能包含$字符或以system.开头。 迁移对象类 复合哈希索引检查 源库为4.4版本集群时，不支持复合哈希索引，不支持复合哈希分片键。 源库为4.4版本副本集时，不支持复合哈希索引。 迁移对象类 复合哈希分片键检查 源库为4.4版本集群时，不支持复合哈希索引，不支持复合哈希分片键。 源库为4.4版本副本集时，不支持复合哈希索引。 迁移对象类 索引检查 源库若存在没有索引（id）的集合，可能导致迁移失败。 迁移对象类 TTL索引检查 TTL索引会因为源数据库和目标库数据的时区，时钟不一致导致迁移后数据不一致。 迁移对象类 索引个数检查 索引的个数会影响整个迁移的时间，检查源数据库是否存在索引个数大于10的集合，若存在会影响迁移速度。

本章节列举了使用云主机备份过程中的通用类问题,以及相对应的解答。 如何在保留镜像的情况下删除已创建镜像的备份？ 可以使用镜像创建新的云主机。再使用云主机创建新的镜像，删除原镜像后，即可删除原备份。 在云硬盘备份界面上的显示的云主机备份有什么用途？ 云主机备份实际上是对其中的每一个磁盘进行备份，这些磁盘的备份均会同时在云硬盘备份的备份列表展示，您可以直接在云硬盘备份使用这些备份恢复磁盘。 备份出现异常该如何处理？ 目前异常状态主要为备份状态异常。当处于这些状态时，请参考下面处理建议。 异常状态 建议 错误 您可以删除错误状态的备份后，再重新创建。 删除失败 请重新删除，若重新删除后仍然出现删除失败，请联系技术支持解决。 备份对虚机的磁盘io有没有影响？ 没有影响。 备份和恢复服务器需要多长时间？ 服务器备份首次为全量备份，后续均为增量备份。因此第一次备份时间较长，后续备份时间较短。例如：备份一个已有数据为100GB的云服务器，首次全量备份需要30分钟左右；假设下次备份前新产生或变化数据量为15GB时，增量备份需要6分钟左右。 云主机备份支持即时恢复，恢复100GB数据，大约只需要几分钟左右。 为什么备份中文件系统容量和备份大小不一致？ 常见的现象为，在云主机中存放了文件并进行了备份，新增或删除文件后进行再次进行备份，前后备份的大小并没有变化。ECS创建的备份比文件系统查询到的磁盘占用空间大。 以下原因可能造成上述文件系统与备份大小不一致： • 文件系统的元数据会占用磁盘空间。 • 磁盘进行了格式化操作，例如Windows系统正常格式化操作后，全盘数据有写入操作，备份软件需要备份全盘的数据，备份软件会对这种情况优化，全0的数据会进行压缩处理。 • 备份软件是通过监控存储I/O的写入来确定哪些数据产生了变化需要备份。系统中的文件删除后也会被记录为变化的数据，也会被备份。

本文为您介绍如何快速购买并使用轻量型云主机。 前提条件 完成账号注册与实名认证。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。后续您也可以在创建页面对“地域”进行修改。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机界面，单击“创建轻量型云主机”。 5. 在基础配置页进行选配。“地域”建议按实际需求或就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 6. 选择计费模式，轻量型云主机目前仅支持包年/包月计费模式。 7. 根据业务需求选择“规格套餐”。 套餐类型 说明 基础型 提供合适的云资源能力，适用于小型网站软件及应用，如官网页面、论坛、测试环境等。 进阶型 提供常用的云资源能力，适用于中小型网站，软件、应用及系统，如电商。 随心购 您可以根据业务的实际需要自行搭配各项云资源规格。 关于轻量云主机规格的详细说明，具体可参见实例套餐。 8. 根据业务需求选择“镜像”，天翼云提供包括CentOS、Ubuntu、Windows三种类型的系统镜像及多款应用镜像。关于各类镜像的详细说明及支持镜像版本，具体可参见支持的镜像。 9. 您可根据业务需求购买数据盘（可选）。 单独添加注意事项：数据盘非套餐内资源，单独进行收费。 说明 单台轻量型云主机最多支持5块数据盘，数据盘支持普通IO、高IO、通用SSD、超高IO高类型的云硬盘，云盘容量大小范围为：1032768（GB）。 10. 在“创建密码”时单击“立即创建”进行密码设置。您也可以保持默认的“稍后创建”选项，后续再进行“重置密码”操作，重新设置密码。 说明 密码规则：8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@

开放兼容 ●云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。 ●云容器引擎基于业界主流的Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区版本保持同步，完全兼容Kubernetes API和Kubectl。 云容器引擎对比自建Kubernetes集群 对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

本文介绍如何使用云搜索Elasticsearch、Kibana、Logstash实例搭建日志分析平台。 使用ELK Stack（Elasticsearch、Logstash、Kibana、Beats）进行日志管理是一种流行的开源解决方案，用于集中式日志收集、存储、分析和可视化。ELK Stack可以从分布式系统中采集和聚合日志，帮助运维和开发人员更好地理解系统的运行状态、排查问题并监控关键业务指标。 本文将使用Filebeat、Logstash、Elasticsearch、Kibana搭建一个简单的日志分析平台，其中需要自行部署Filebeat并且打通和天翼云云搜索Elasticsearch、Kibana以及Logstash实例之间的网络。 ELK Stack组件 Elasticsearch 是一个分布式搜索引擎，作为ELK堆栈的核心，它负责存储和索引日志数据。Elasticsearch提供强大的全文搜索、过滤和分析功能，可以快速处理大规模数据并允许实时查询。 Logstash 是一个数据处理管道工具，负责从各种输入源收集数据，进行过滤、处理并将其输出到 Elasticsearch。Logstash 支持多种数据源（如文件、数据库、消息队列），并且能够通过过滤器对数据进行处理，比如解析、格式转换等。 Kibana 是一个数据可视化和分析工具，允许用户在浏览器中直观地查询和展示Elasticsearch 中存储的日志数据。Kibana提供多种图表、仪表盘和地图，可以帮助用户监控系统、分析日志、生成报表等。 Beats是一组轻量级数据收集器，用于将各种类型的数据发送到Elasticsearch或Logstash进行索引和分析。其中Filebeat是 ELK Stack 中的一个轻量级日志数据收集器，用于收集日志文件数据。它监视指定的日志文件或位置，并将其发送到Elasticsearch或Logstash以进行存储和分析。

本页为您介绍WPS云文档天翼云版的产品规格 产品规格 版本 提供方式 收费方式 规格 业务类型 WPS云文档天翼云版 标准版 SaaS 用户数订阅年份 含商业基础版所有功能 100GB/人安全存储 完整的文件安全管控和企业管理模块 支持订购、续订、不支持试用 WPS云文档天翼云版 高级版 SaaS 用户数订阅年份 含商业标准版所有功能 200GB/人安全存储 Office二次开发接口 1对1专属售后支持 支持订购、续订、不支持试用 WPS云文档天翼云版 基础版 SaaS 用户数订阅年份 无账号数上限 50GB/人安全存储 大文件上传（2G） 可禁止文件移动到企业外 支持订购、续订、不支持试用 WPS云文档天翼云版 WPS会员 SaaS 用户数订阅年份 75种文档格式转换 65项办公特权 支持订购、续订、不支持试用 WPS云文档天翼云版 稻壳会员 SaaS 用户数订阅年份 800万+办公模板免费下载海量字体、图标、图表、图片资源任性用尊享60+项特权服务 支持订购、续订、不支持试用 WPS云文档天翼云版 超级会员 SaaS 用户数订阅年份 含稻壳会员、普通会员权益 支持订购、续订、不支持试用 WPS云文档天翼云版 咨询服务 SaaS 用户数订阅年份 对于非结构化数据管理、企业内文档资产管理提供咨询服务 支持订购、续订、不支持试用

本节主要介绍NAT的应用场景。 公网NAT网关 使用SNAT访问公网 当VPC内的云主机需要访问公网，请求量大时，为了节省弹性IP资源并且避免云主机IP直接暴露在公网上，您可以使用公网NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则，一条SNAT规则可以配置多个弹性IP。公网NAT网关为您提供不同规格的连接数，根据业务规划，您可以通过创建多条SNAT规则，来实现共享弹性IP资源。 使用SNAT访问公网场景组网图如图所示。 图 使用SNAT访问公网 使用DNAT为云主机面向公网提供服务 当VPC内的云主机需要面向公网提供服务时，可以使用公网NAT网关的DNAT功能。 DNAT功能绑定弹性IP，有两种映射方式（IP映射、端口映射）。可通过端口映射方式，当用户以指定的协议和端口访问该弹性IP时，公网NAT网关会将该请求转发到目标云主机实例的指定端口上。也可通过IP映射方式，为云主机配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标云主机实例上。使多个云主机共享弹性IP和带宽，精确的控制带宽资源。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机中的任何一个。 图 使用DNAT为云主机面向公网提供服务

步骤说明 在目标VPC中的ECS实际中添加入方向安全组规则，用于放行私网NAT过来的访问流量。 操作步骤 具体操作参见添加安全组规则。 步骤九：测试连通性 步骤说明 我们通过验证弹性云主机是否可以通过私网NAT网关访问另一个VPC的ECS服务，来测试网络连通性。 操作步骤 1. 登录天翼云控制台，选择”计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过nc访问的云资源DNAT后的地址及端口，测试云主机是否能够通过私网NAT网关访问。 说明弹性云主机可以通过转换后的中转IP地址，实现重叠地址段的服务访问。

本文将介绍自动快照策略的启用与停用状态,此状态可直接影响其是否能够创建自动快照。 操作场景 您可设置自动快照策略状态为启用/停用，启用状态的自动快照策略才可以执行创建自动快照任务。 约束与限制 策略停用期间其关联云硬盘不会自动生成快照，直至策略重新启用。策略重新启动后，系统会在最近的下一个创建快照时间点为所关联的云硬盘开始创建快照。 启动和停用范围为该策略关联的全部云硬盘。 只有“停用”状态的策略才支持启用操作，只有“启用”状态的策略才支持停用操作。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击左侧导航栏中的“云硬盘快照”，进入云硬盘快照页面。 5. 在此页面点击“自动快照策略”，进入自动快照策略控制台。 6. 在自动快照策略控制台，选择待关联策略的“操作>启用”按钮，弹出确认对话框。在确认启用策略信息无误后，点击“确定”，完成启用策略操作。若您不想继续启用操作，点击“取消”，策略将不会被启用。 7. 您可通过查看云硬盘策略列表页面的“状态”列判断自动快照策略状态是否如预期。 8. 停用策略的操作步骤同上述启用策略操作。

本文介绍云SSO的开通方式 开通云SSO 前提条件 您已完成企业实名认证，并作为企业管理员账号（主账号）开通了企业中心功能。 操作步骤 1. 登录天翼云官网首页 2. 单击右上角“个人账号”，选择“账号中心” 3. 单击左侧导航栏“企业中心”，选择“云SSO” 4. 按操作提示完成“云SSO”功能开通。

天翼公有云×DeepSeek 产品架构和技术优势 天翼公有云智算底座主推产品 天翼公有云×DeepSeek方案 返回DeepSeek专题导航。