本节主要介绍弹性文件服务的规格类常见问题 在文件系统中存放的单个文件最大支持多少？ SFS支持存放最大为240TB的单个文件。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB等类型的SFS Turbo文件系统支持存放最大为320TB的单个文件；标准型、标准型增强版、性能型、性能型增强版等类型的SFS Turbo文件系统支持存放最大为16TB的单个文件。 弹性文件服务支持哪些访问协议？ SFS容量型支持标准的NFSv3协议和CIFS协议；SFS Turbo支持标准的NFSv3协议。 每个帐户最多可以创建多少个文件系统？ SFS容量型文件系统支持同时创建多个。当需要创建多于20个SFS容量型文件系统时，可“提交工单”申请扩大配额。 SFS Turbo文件系统单次只能创建一个。当需要创建多于20个SFS Turbo文件系统时，可“提交工单”申请扩大配额。 一个文件系统最多支持同时挂载到多少台云服务器上？ 一个SFS容量型文件系统最多支持同时挂载到10000台云服务器上。 一个SFS Turbo文件系统标准型、标准型增强版、性能型、性能型增强版最多支持同时挂载到500台云服务器上。 一个SFS Turbo文件系统20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB最多支持同时挂载到3000台云服务器上。

本文介绍实时云渲染产品的主要功能。 应用云化 通过控制台自主上传您需要云化的应用，云3D最高4K，云VR适配所有主流设备。支持自适应编解码，保障弱网情况下仍然访问流畅。 投屏功能 针对教学场景推出投屏链接功能，每个主控端可生成不占用额外并发的观众链接，最高支持60路观众端并发同时访问同一3D应用。 灵活部署 在多云融合的环境中，用户可根据需求选择公有云、私有云、混合云等部署环境。 Cloud XR 云服务 提供高清晰度低延时的沉浸式 VR/AR 应用托管服务，CloudXR 可将任意终端设备转变为可显示专业级质量图像的高清 XR 显示器。

本文为您介绍如何创建用户组和授权。 创建用户组 1. 管理员登录IAM控制台。 2. 在统一身份认证服务，左侧导航窗格中，点击“用户组”，点击右上角的“创建用户组”。 3. 在“创建用户组”界面，输入用户组名称和描述，单击“确定”，完成用户组创建。 4. 按照上述方法，创建“测试人员组”。 给用户组授权 A公司的开发人员需要使用的云服务为弹性云主机、弹性负载均衡、虚拟私有云、云硬盘以及密钥管理，需要为“开发人员组”授予这五个服务的管理员权限。测试人员需要使用云监控，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。如需查看所有云服务的系统策略，请参见系统策略 。 1. 确定所需权限。 通过查看系统策略，需要设置的权限详见下表。其中授权范围由策略的作用范围决定，分为全局和具体资源池两种情况。当授权范围为全局时，该授权将不区分具体资源池生效；当授权范围为具体资源池时，可以选择特定的一类节点资源池，如华东1、石家庄20等进行授权，该授权将只作用于具体的资源池上。 用户组 使用的服务 授权范围 设置策略名称 开发人员组 弹性云主机 具体资源池，如华东1 ecs admin 开发人员组 弹性负载均衡 全局 elb admin 开发人员组 虚拟私有云 具体资源池，如华东1 vpc admin 开发人员组 云硬盘 具体资源池，如华东1 evs admin 开发人员组 密钥管理 全局 kms admin 测试人员组 云监控 全局 cm admin 2. 在用户组列表中，单击“创建用户组”步骤中新建的用户组“开发人员组”右侧的“授权”。 3. 设置资源池的权限。 1）选择策略：由上表中的用户组和授权策略可知，需要对弹性云主机、虚拟私有云和云硬盘在具体资源池上进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索，勾选需要授予用户组的资源池级策略，单击“下一步”。 2）设置授权范围：由于上一步选择的系统策略，作用范围为资源池，因此在设置授权范围时，可以选择具体资源池。在资源池指定列表的右上角输入框内，输入资源池名称，搜索后勾选“华东1”，此处代表本次授权的范围仅限于华东1资源池。单击“确定”完成授权。 4. 设置全局服务的权限。 1）选择策略：由上表中的用户组和授权策略可知，需要为弹性负载均衡、密钥管理在全局上进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索，勾选需要授予用户组的全局策略“elb admin”、“kms admin”，单击“下一步”。2）设置授权范围：由于上一步选择的系统策略，作用范围为全局，因此在设置授权范围时，默认勾选了“全局”选项。单击“确定”完成授权。 5. 参考第4步中的方法，给“测试人员组”授予全局的云监控“cm admin”权限。

本文汇总了使用VPC终端节点产品时常见的问题。 如何检查终端节点服务所在后端弹性云主机的网络配置？ 您可以按照以下步骤检查终端节点服务所在后端弹性云主机的网络配置： 1. 确认弹性云主机使用的安全组是否正确：在弹性云主机的详情页面中，查看网卡使用的安全组。确保所使用的安全组已配置正确。 2. 检查安全组入方向规则：确认安全组的入方向规则是否已放行198.19.128.0/20网段的地址。如果没有相应的入方向规则，请添加规则以允许来自该网段的流量。 3. 确认子网的网络ACL设置：检查弹性云主机网卡所在子网的网络ACL配置，确保其不会对流量进行拦截。 VPC终端节点和对等连接有什么区别？ 类别 VPC对等连接 VPC终端节点 功能 对等连接主要是打通两个VPC之间的流量，使两个VPC的子网中的实例可以彼此通信，如同在同一个网络中。 VPC终端节点是将某个VPC中的实例暴露出来，通过专门的网关将此实例的端口映射在其他VPC中。 访问场景 对等连接主要应用在网络规划中,多是同一个租户用来规划自己的网络,将两个VPC的子网联通。 VPC终端节点主要是将服务在云平台中开放,可以提供给同一个租户使用,也可以提供给其他租户使用。 安全性 VPC内所有ECS、ELB等均可以被访问。 仅创建了终端节点服务的ECS、ELB等可以被访问。 CIDR重叠 不支持CIDR重叠，两个VPC的CIDR范围不能有重叠部分。 支持CIDR重叠，允许不同VPC中使用相同的CIDR范围。 通信方向 建立对等连接的两个VPC之间支持双向通信。 仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 需要手动配置对等连接路由信息，才能使两个VPC互通。 自动在VPC路由表中添加路由规则，无需手动配置。 计费 免费 按需计费

本节介绍如何变更云防火墙扩展包数量。 购买了云防火墙后，您可以增加或减少EIP/VPC的防护数量以及互联网边界流量峰值。 变更扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在“防火墙详情”中，单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”，进入“变更云防火墙规格”页面。 5. 变更扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，请参见退订扩展包。 退订扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 选择退订的扩展包，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

本文介绍弹性文件服务配额相关限制及操作。 什么是服务配额？ 服务配额是指天翼云账号在使用云资源时的最大限制。为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如用户最多可以创建多少台弹性云主机、多少块云硬盘、多少个文件系统等。 配额说明 对于弹性文件服务，一般情况下您需要关注以下3个配额： 配额项 说明 文件系统总容量配额 单用户单地域默认分配50TB配额用于创建文件系统，所有的文件系统容量之和不能超过此配额。 如不满足使用需求，可以申请调整，见下方场景示例。 文件系统数量配额 默认10个，即默认情况下，在某资源池您可以创建10个文件系统。在多可用区资源池，各可用区共用该资源池总数量配额。 如不满足使用需求，可以申请调整至20个，见下方场景示例。 若需要创建20+个文件系统，请提交工单进行资源评估。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 单个文件系统容量上限 单文件系统默认容量上限为32TB。如不满足使用需求，可以申请调整，通常情况下可以调整至320TB。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 弹性文件服务容量和性能不是线性相关，性能不会随容量增大线性增长，最大性能详见产品规格。

本文介绍数据管理服务DMS管理控制台首页。 前提条件 开通数据管理服务。 功能介绍 您在进入数据管理服务DMS管理控制台时，首先进入服务首页。 首页主体区域布局主要由六个部分组成：左侧边栏为功能菜单，右侧边栏有功能按钮 ，右上顶层展示已打开标签页管理，右侧二层显示当前用户概要信息，右侧三层为主要功能简介 、快速入口和产品动态 ，右侧底层区域展示 最近访问的库/模式 、 最近打开的脚本 。如下图所示。 表1 首页界面介绍 序号 区域 说明 ::: ① 功能菜单 查看数据管理服务的一级功能菜单，单击任意展开二级功能菜单。 ② 标签页 展示已打开的标签页，可以单击标签右侧关闭icon关闭指定标签。 ③ 用户概要信息 展示当前用户概要信息，包括用户名、用户角色、用户创建时长等。 ④ 功能简介、产品动态 展示实例管理、查询窗口、团队管理、运维与审计、智能服务等重点功能的简介和快速访问入口，可以单击对应按钮跳转至功能的页面操作。单击使用引导按钮可查看基础版、企业版的操作指引，产品动态可查看产品最新动态。 ⑤ 最近访问的库/模式、最近打开的脚本 默认展示最近访问的数据库或模式，可以单击切换Tab卡片查看最近打开的脚本。 ⑥ 功能按钮 使用实例列表、智能助手等快捷功能 本文详细介绍了数据管理服务控制台首页概览，数据管理服务控制台首页布局科学合理，友好易用，各模块功能明确，用户可以快速找到所需功能，降低学习成本；还可以一站式完成数据管理，提升效率。 相信通过了解数据管理服务页面布局设计，您可以更加高效地使用这款数据管理利器。 未来，我们将继续优化产品功能和界面设计，为您提供更加便捷、专业的数据管理体验。

参数 参数类型 说明 示例 下级对象 productType String 本参数表示产品类型。取值范围：vm：云主机。根据以上范围取值。 vm inspectionType Integer 本参数表示巡检类型。取值范围：1：资源健康评估。2：资源风险识别。根据以上范围取值。 1 inspectionItem Integer 本参数表示巡检项。取值范围：1：云主机性能评估。2：监控数据健康评估。3：云主机闲置资源检查。4：云主机磁盘使用预警评估根据以上范围取值。 1 inspectionItemName String 本参数表示巡检项名称 云主机性能评估 level Integer 本参数表示重要等级。取值范围：1：低。2：中。3：高。根据以上范围取值。 2 description String 巡检项描述 云主机磁盘空间耗尽风险 status Boolean 本参数表示巡检项状态。取值范围：true：正常。false：异常。根据以上范围取值。 true inspectionRules Array of Objects 巡检规则列表 inspectionRule

本文介绍如何应用事件总线EventBridge的事件流功能实现分布式消息服务Kafka的消息路由。 前提条件 开通事件总线EventBridge并授权。 开通分布式消息服务Kafka并创建最少两个主题。 背景信息 事件流作为更轻量、实时端到端的流式事件通道，提供轻量级的流式数据的过滤和转换的能力，在不同的数据仓库之间、数据处理程序之间、数据分析和处理系统之间进行数据同步。源端分布式消息服务Kafka生产的消息可以通过事件流这个通道被路由到目标端的分布式消息服务Kafka。 步骤一：创建事件流 1. 登录事件总线EventBridge控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流面板，设置任务名称和描述，配置以下参数，然后单击保存。 a.在Source（源）配置向导，选择数据提供方为分布式消息服务Kafka ，设置以下参数，然后单击下一步。 参数 说明 示例 Kafka实例 选择Kafka实例。 instancexxx Kafka Topic 选择Kafka topic。 topicxxx Group 选择消费组。 快速创建 消费位点 选择消费位点。 最新位点 b.在Filtering（过滤）配置向导，设置事件过滤规则，单击下一步。 c.在Sink（目标）配置向导，选择服务类型为分布式消息服务Kafka，配置参数，单击保存，如图1所示。 参数 说明 示例 Kafka实例 选择Kafka实例。 instancexxx Kafka Topic 选择Kafka topic。 topicxxx 消息体（value） 提取事件中的数据。 $.data.value 消息键值（key） 提前事件中的key到目标。 $.data.key 图1 创建事件流时目标类型选择分布式消息服务Kafka 5. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。

本章节介绍云主机网络延迟故障演练。 背景介绍 网络延迟是分布式系统中最常见的微故障之一。跨数据中心的调用、网络拥塞、路由路径过长或中间设备处理耗时，都可能导致服务间的通信延迟增加。这会直接影响应用的响应时间，降低用户体验，甚至在级联调用中引发雪崩效应。本演练模拟可控的网络延迟，帮助您检验系统的超时设置、熔断机制的有效性，并发现潜在的性能瓶颈。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络延迟。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络延迟动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 延迟时间(毫秒)：为每个数据包增加的固定延迟时长。 延迟浮动值(毫秒)：在固定延迟时长上的随机浮动范围。最终延迟为延迟时间 ± 延迟浮动值，用于模拟更真实的网络抖动。

本文为您介绍如何通过虚拟节点使用L20 GPU。 主流的AI训练、推理等应用普遍采用容器化方式运行，这类任务对GPU算力需求大，且通常需要短时间内快速申请大量计算资源，并在任务完成后及时释放，以提升资源利用效率、控制成本。在已经创建云容器引擎集群的基础上，您可以通过部署虚拟节点（基于VK）来调用弹性容器实例，实现按需、弹性地调度GPU算力资源。 推荐您使用云容器引擎集群对接ECI GPU实例进行弹性扩容，从而高效、灵活地满足算力扩展需求。以下以扩容L20机型为例，指导您如何通过虚拟节点使用L20 GPU 弹性容器实例。 操作步骤 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页，确认 L20 资源可售卖的可用区以及规格名称。 3. 进入云容器引擎产品控制台，选择想要扩容L20 GPU弹性容器实例的集群。 4. 在左侧导航栏中选择“节点”，进入节点列表页，点击“创建虚拟节点”。 5. 在创建虚拟节点页面，选择第二步中仍未售罄的可用区。 6. 等待虚拟节点状态正常。 7. 进入工作负载页面，选择“新增YAML”，最后点击“确定”。 通过 annotations 指定 ECI 规格。例如下面的 k8s.ctyun.cn/eciusespecs: pn8i.4x.large.8 通过 nodeName 指定工作负载调度到虚拟节点。例如下面 nodeName: vnd4klpjmam8j8hf57mcnhuadong1jsnj2apublicctcloud 通过 resources 指定工作负载的资源需求。其中，GPU指定为 ctyun.cn/gpu: 1 plaintext apiVersion: apps/v1 kind: Deployment metadata: name: cudal20 namespace: default labels: app: cuda spec: replicas: 1 selector: matchLabels: app: cuda template: metadata: annotations: k8s.ctyun.cn/eciusespecs: pn8i.4xlarge.8 labels: app: cuda spec: containers: name: cuda image: docker.io/library/cuda:11.4.3baseubuntu20.04 imagePullPolicy: IfNotPresent command: /bin/bash 'c' args: nvidiasmi L; sleep infinity resources: requests: memory: "128Gi" cpu: "16" ctyun.cn/gpu: 1 limits: memory: "128Gi" cpu: "16" ctyun.cn/gpu: 1 nodeName: vnd4klpjmam8j8hf57mcnhuadong1jsnj2apublicctcloud 8. 等待工作负载 Running。

本章节主要介绍Logstash集群配置中心的相关操作。 Logstash类型的集群支持通过配置中心，修改logstash的配置文件，从不同的数据源（input）迁移数据到不同的目的端（output）。 连通性测试 在使用Logstash集群迁移数据时，可以先测试下数据源和Logstash集群的网络是否连通。用户也可以输入数据输出端（output）的IP地址或域名和端口号，测试该Logstash集群和数据输出端的网络是否连通。 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择Logstash类型集群，单击需要配置数据导入导出文件的集群名称，进入集群基本信息页面，选择“配置中心”，或者直接单击目标集群操作列的“配置中心”，进入配置中心页面。 3.在配置中心页面，选择“连通性测试”。 4.输入数据来源的IP地址或域名和端口号，单击“测试”。 连通性测试 说明 连通性测试最多可一次性测试10个IP地址或域名。您可以单击“继续添加”，添加多个IP地址或域名，然后单击“批量测试”，进行一次性测试多个IP地址或域名的连通性。 创建配置文件 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择Logstash类型集群，单击需要配置数据导入导出文件的集群名称，进入集群基本信息页面，选择“配置中心”页签，进入配置中心页面；或者直接单击目标集群操作列的“配置中心”，进入配置中心页面。 3.单击右上角“创建”，进入创建配置文件页面。 您可以选择系统模板或者自定义模板方式创建，也可以直接进行创建配置文件。 −如果选择模板方式，可以直接单击对应的模板操作列的“应用”，然后在“名称”、“配置文件内容”和“隐藏内容列表”中进行命名和修改。 目前支持的系统模板类型有： elasticsearch：从Elasticsearch类型集群导入数据到Elasticsearch类型集群。 −如果直接创建配置文件，在“名称”和“配置文件内容”参数中直接输入对应内容即可。创建的配置文件内容大小不能超过100k。支持创建配置文件个数不超过50个。 −隐藏内容列表：输入需要隐藏的敏感字串列表，按Enter创建；配置隐藏字符串列表后，在返回的配置内容中，会将所有在列表中的字串隐藏为（列表最大支持20条，单个字串最大长度512字节）。 4.配置完成后，单击“下一页”，配置参数。 配置文件在迁移数据时管道中的配置。 参数说明 参数 说明 pipeline.workers 并行执行管道的Filters+Outputs阶段的工作线程数，默认值为CPU核数，建议取值为120之间。 pipeline.batch.size 单个工作线程在尝试执行其Filters和Outputs之前将从inputs收集的最大事件数，该值较大通常更有效，但会增加内存开销，默认为125。 pipeline.batch.delay 创建管道事件批时，在将过小的批调度到管道工作线程之前，等待每个事件的时间（以毫秒为单位），默认值为50。 queue.type 用于事件缓冲的内部队列模型。memory为基于内存的传统队列，persisted为基于磁盘的ACKed持久化队列，默认值为memory。 queue.checkpoint.writes 如果使用持久化队列，则表示强制执行检查点之前写入的最大事件数，默认值为1024。 queue.maxbytes 如果使用持久化队列，则表示持久化队列的总容量，确保磁盘的容量大于该值，默认值为1024。 单位：MB。 5.配置完成后，单击“创建”。 在配置中心页面可以看到创建的配置文件，状态为“可用”，表示创建成功。您还可以在操作列对创建的配置文件进行编辑、添加到自定义模板、删除等操作。 −编辑：单击操作列的“编辑”，可以修改配置文件的内容及配置参数。 −添加到自定义模板：可以将当前创建的配置文件，作为模板添加到自定义模板中，方便下次创建配置文件时使用。 −删除：如果不需要此配置文件，可以通过操作列进行删除。 说明 您也可以单击“操作记录”或“运行日志”，查看配置文件的相关操作记录和运行日志信息。

广泛重复的使用加密密钥，会对加密密钥的安全造成风险。建议您定期轮换密钥，更改原密钥的密钥材料。 为什么需要轮换密钥 广泛重复的使用加密密钥，会对加密密钥的安全造成风险。为了确保加密密钥的安全性，建议您定期轮换密钥，更改原密钥的密钥材料。 定期轮换密钥有如下优点： 减少每个密钥加密的数据量：一个密钥的安全性与被它加密的数据量呈反比。数据量通常是指同一个密钥加密的数据总字节数或总消息数。 增强应对安全事件的能力：在系统安全设计的初期，设计密钥轮换功能并将其作为日常运维手段。这样可以使系统在特定安全事件发生时具备实际执行能力。 加强对数据的隔离能力：轮换密钥使得轮换前后产生的密文数据形成隔离效果。特定密钥的安全事件可以被快速定义影响范围，从而采取进一步措施。 密钥轮换的两种方法 云服务提供了两种密钥轮换方法： 手动轮换密钥 使用一个新的密钥替换使用中的密钥。即创建一个新的密钥B，并使用密钥B替代当前使用的密钥A，当密钥B使用的加密材料与密钥A使用的加密材料不相同时，使用密钥B与更改密钥A的密钥材料具有相同效果。 示例： 以OBS服务为例：需要手动轮换密钥时，用户先在KMS界面创建一个新的自定义密钥，后在OBS界面将原自定义密钥替换为新的自定义密钥。 手动轮换密钥工作原理

系统影响 升级服务版本和购买资源扩展包时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 升级云SaaS型实例规格 云SaaS型实例支持从较低版本的主套餐升级至任一更高版本。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“升级扩容”，进入“升配”页面。 6. “规格选择”默认为当前实例版本，可以对当前实例版本进行升级。 7. 选择升级的版本后，在页面下方确认支付费用，单击“立即购买”。 8. 在订单页完成订单确认并支付，付费成功后，购买的版本将生效。 扩增云SaaS型实例资源扩展包 云SaaS型实例支持扩增资源扩展包的数量，扩展包规格请参见产品规格。 说明 若需要购买规则扩展包提升重保防护场景配额，购买后，请联系技术支持进行配置。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“升级扩容”，进入升配页面。 6. 在“升配”页面下方，单击“去增项”，进入增项页面。 7. 设置资源扩展包数量，需高于当前已购买数量。 8. 设置完成后，在页面下方确认支付费用，单击“立即购买”。 9. 在订单页完成订单确认并支付，付费成功后，购买扩展包将生效。

调用API接口加解密 以保护服务器HTTPS证书为例，采用调用KMS的API接口方式进行说明，如图所示。 保护服务器HTTPS证书 流程说明如下： 1. 用户需要在KMS中创建一个用户主密钥。 2. 用户调用KMS的“encryptdata”接口，使用指定的用户主密钥将明文证书加密为密文证书。 3. 用户在服务器上部署密文证书。 4. 当服务器需要使用证书时，调用KMS的“decryptdata”接口，将密文证书解密为明文证书。 由于控制台输入的加密原文会经过一次Base64转码后才传至后端，所以当调用API接口解密密文的时候，返回的明文就是加密原文经过Base64转码得到的字符串，故API加密密文后需要调用API进行解密，若使用控制台解密API加密密文则会产生乱码。 加解密大量数据 场景说明 当有大量数据（例如：照片、视频或者数据库文件等）需要加解密时，用户可采用信封加密方式加解密数据，无需通过网络传输大量数据即可完成数据加解密。 加密和解密原理 大量数据加密 说明 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“createdatakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件，生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 大量数据解密 说明 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。 用户调用KMS的“decryptdatakey”接口，使用对应的用户主密钥（即生成密文的数据加密密钥时所使用的用户主密钥）来解密密文的数据加密密钥，取得明文的数据加密密钥。 若对应的用户主密钥被误删除，会导致解密失败。因此，需要妥善管理好用户主密钥。 用户使用明文的数据加密密钥来解密密文文件。

本章节介绍应用容灾多活的服务层配置。 概述 服务层配置主要是Java应用接入。 应用容灾多活通过控制面与数据面协同，提供探针（Agent/SDK）接入方式，帮助您零改造或少改造将应用服务接入多活容灾，实现服务调用和数据访问控制。 图 服务层配置 前提条件 已开通服务层功能模块。 已完成系统架构配置以及路由规则配置。 已按功能场景需求完成相关业务应用代码改造。 应用接入 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统 ，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击服务层配置 ，进入容灾配置服务层配置页面。 5. 单击左上方应用接入 按钮，弹出应用接入 页面，在页面中查看JVM参数 与授权信息。 6. 为应用配置JVM参数，参数说明如下JVM参数列表。 7. 重启应用，探针安装成功后会自动上报心跳信息。 8. 在应用实例列表 ，若该应用实例信息出现在列表中且状态显示为在线，则说明探针安装成功。 表 JVM参数列表 配置项 描述 示例 探针JAR所在路径 下载探针程序后所放置的路径，应用需有访问权限。 ./amssagent1.0.0.jar 单元组编码 应用所属单元组，不同的单元组一般代表不同路由规则。 order 应用名称 应用服务在多活系统自定义标识。 订单应用 应用IP 应用可访问IP，可选配置，默认读取网卡IP。 192.168.0. 管控通道地址 应用所在站点的管控通道服务地址，可在授权信息中查看。 192.168.0.:8080 管控通道密钥 应用所在单元的管控通道密钥，可在授权信息中查看。 cCBOTaXdeJg

开启/关闭灵动核（创建时） 1. 登录控制台，单击“创建弹性云主机”。 根据业务需要，完成基础配置、网络配置以及高级配置。 2. 勾选“现在配置”，展开“高级选项”。 3. 设置“CPU选项”。 勾选“开启灵动核”：为鲲鹏架构弹性云主机开启灵动核。 不勾选“开启灵动核”，关闭灵动核，默认关闭。 4. 单击“下一步：确认配置”，确认参数并完成弹性云主机的创建。 开启/关闭灵动核（变更规格时） 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，单击待变更的弹性云主机“操作”列下的“更多 > 变更>变更规格”（针对包周期云主机）或“更多>变更规格”（针对按需云主机）。 系统进入“云主机变更规格”页面。 4. 根据界面提示，选择变更后的弹性云主机类型、vCPU和内存。 变更规格前请先将云服务器关机。 5. （可选）设置“CPU选项”。 勾选“开启灵动核”：为鲲鹏架构弹性云主机开启灵动核。 不勾选“开启灵动核”，关闭灵动核，默认关闭。 6. 单击“下一步”。 7. 确认变更后的配置无误后，阅读并勾选同意服务协议，单击“提交申请”开始变更。

创建MapReduce（MRS）集群时计价器为什么未显示价格? 请您确认是否只选择了磁盘个数，没有选择集群虚拟机实例个数，在此情况下，产品报价是不会产生金额的。 当您参考页面展示，按实际需求填选实例个数、磁盘个数、磁盘大小等参数后，产品报价会在浏览器下方即时显示出来。 翼MapReduce服务集群的Task节点如何收费? Task节点按需计费。 包年/包月集群和按需计费集群的Task节点的计费模式都是按需计费，即按实际使用时长计费，计费周期为一小时。 退订MRS服务后，在ECS中退订弹性云主机时报异常如何处理？ 1. 在使用的MRS集群中查询该弹性云主机的ID确认没有使用。 2. 在ECS控制台上找到需要退订的服务器单击“MRS使用中”将机器进行解锁。 3. 再次单击“退订”。 4. 若依然显示退订异常，请收集弹性云主机的ID并联您的客户经理或提交服务工单，由技术支持人员协助您解决问题。

本文向您介绍如何在Windows云主机上安装IIS服务。 操作场景 本文档指导您在Windows云主机上安装IIS服务，以Windows Server 2012标准版R2 64位中文版操作系统的云主机为例。 操作步骤 1. 打开服务器管理器。 2. 在“快速启动”栏，单击“添加角色和功能”。 3. 在左侧导航栏，选择“安装类型”。 4. 单击“基于角色或基于功能的安装”，并单击“下一步”。 5. 左侧导航栏选择“服务器角色”。 6. 勾选“从服务器池中选择服务器”，并在“服务器池”中选择服务器的计算机名。 7. 单击“下一步”。 8. 在左侧导航栏，选择“服务器角色”。 9. 在角色列表内找到“Web服务器(IIS)”并勾选。 10. 在弹窗“添加角色和功能向导”中，单击“添加功能”。 11. 单击“下一步”，并勾选“.Net Framework 3.5”和“.Net Framework 4.5”。 12. 两次单击“下一步”，在角色服务列勾选需要安装的项目。 如果您不清楚需要安装哪些项目，除了FTP服务器，其他建议全部勾选。 13. 单击“下一步”，确认安装的角色，然后单击“安装(I)”。 14. 等待安装完成即可完成IIS服务安装。

本文介绍使用数据迁移工具是否会产生费用。 目前迁移服务暂不收取服务费用，但因迁移数据时会产生数据的上传下载以及API请求，所以会产生对应的下行流量费用以及API请求次数费用。 具体计费说明可参考：计费说明 。

云审计服务记录了AntiDDoS相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的AntiDDoS操作列表如下： 操作名称 事件名称 开启AntiDDoS防护 OPENANTIDDOS 修改AntiDDoS防护配置 UPDATEANTIDDOS 设置LTS全量日志配置 UPDATELTSCONFIG 更新租户的告警提醒配置情况 UPDATEALERTCONFIG 修改流量清洗阈值默认档位 UPDATEDEFAULTCONFIG 删除流量清洗阈值默认档位 DELETEDEFAULTCONFIG

参数 类型 默认值 描述 适用场景 ctyun.crypto.useUniqueDataKeyPerEncrypt boolean true 指定是否每次加密时使用唯一的数据密钥。 如果设置为true，则每次加密都会生成一个新的数据密钥。 如果设置为false，则使用相同的数据密钥进行多次加密。 适用于需要高安全性的场景，确保每次加密操作都使用不同的密钥。 ctyun.crypto.keyProvider string KMSCMK 指定密钥提供者的类型。当前支持的值为： KMSCMK，表示使用 KMS（密钥管理服务）中的 CMK（客户主密钥）。 LOCALCMK，表示从本地配置文件中读取CMK（客户主密钥）。 适用于用户按需进行配置使用 KMS 管理密钥或者本地管理密钥的场景。 ctyun.crypto.local.cmk string 本地存储的客户主密钥（CMK），用于本地加密操作。 该密钥需要以 Base64 编码形式提供。 适用于本地加密操作，不需要依赖外部 KMS 服务的场景。 ctyun.crypto.kms.ak string KMS 服务的访问密钥（Access Key），用于身份验证。 适用于需要访问 KMS 服务的场景。 ctyun.crypto.kms.sk string KMS 服务的秘密密钥（Secret Key），用于身份验证。 适用于需要访问 KMS 服务的场景。 ctyun.crypto.kms.endpoint string KMS 服务的端点地址，格式为IP:Port。 适用于需要指定 KMS 服务地址的场景。 ctyun.crypto.kms.cmkId string KMS 服务中的客户主密钥（CMK）ID，用于标识特定的 CMK。 适用于需要指定特定 CMK 的场景，dekId与cmkId不可同时为空。 ctyun.crypto.kms.dekId string KMS 服务中的数据加密密钥（DEK）ID，用于标识特定的 DEK。 适用于需要指定特定 DEK 的场景，dekId与cmkId不可同时为空。

本文介绍如何选择存储区域。 选择区域时，您可考虑以下的因素： 地理位置：一般情况下，我们推荐您遵循就近原则，选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 云服务之间的关系，如果多个天翼云的服务一起搭配使用，需要注意明确是否有内网互通的需求，不同区域的弹性云服务器、媒体存储服务内网不互通。

安全组规则设置 堡垒机弹性IP安全组访问规则设置请参见：虚拟私有云添加安全组规则。 注意 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当堡垒机实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的堡垒机实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。

本章节介绍注册中心迁移方案 MSE Nacos Sync迁移方案 本文介绍基于Nacos Sync 注册中心的迁移方案。 迁移方案简介 Nacos sync 是一个支持多种注册中心的同步组件，目前支持Nacos 和Zookeeper 注册中心 的双向同步，另外还支持Eureka 和Consul数据同步到Nacos。 迁移工具介绍 在迁移过程中，Nacos sync能够将源集群上的服务信息同步到目标集群实例上，从而实现配置中心之间的平滑迁移。 Nacos Sync 本身是无状态的，将任务等状态数据保存在数据库中，所以水平扩展非常方便。Nacos Sync 通过定时任务补偿机制处理宕机节点未处理完毕的任务数据。注册配置中心实例已经内置同步工具，无需用户额外安装，迁移方法可以参考章节：迁移上云。 Nacos Sync适配Zookeeper、Nacos和Eureka 的服务注册逻辑，能够实现从Zookeeper、Nacos和Eureka 自动获取服务，一键同步，操作非常简单。 支持的注册中心类型 源注册中心 目标注册中心 说明 Nacos Nacos Nacos原生服务类型。 Zookeeper Nacos 基于Curator实现的服务发现功能和Dubbo服务。 Zookeeper Zookeeper 服务和配置。 Eureka Nacos Eureka原生服务类型。Eureka原生服务名为大写，但Nacos Sync会将服务名名转换成小写。 从Dubbo Nacos迁移到MSE 本文介绍如何从Dubbo+Nacos 迁移服务到MSE。

本文为您介绍如何查看审计事件。 当您已开通云审计服务，系统开始记录云服务资源的操作，并支持查看近7天的操作事件。 本文为您介绍如何在云审计控制台查看操作审计事件。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围。 读写类型：支持根据事件的读写类型进行筛选。 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）。 操作用户：支持根据同一租户下的不同主子账号进行筛选。 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

云原生API网关支持REST、HTTP和 WebSocket 三种 API 设计、开发、测试、发布、下线等生命周期管理。 REST API 云原生 API 网关提供的 REST API 支持 API 设计、开发、测试、发布、下线的全生命周期管理，通过标准的 HTTP 方法对资源进行操作，适用于 API First、API 精细化管控等场景。 HTTP API 云原生API网关支持创建HTTP API。HTTP API是基于HTTP协议的接口，以路由为中心。适用于K8s Ingress、微服务架构等场景，实现服务的对外快速暴露。 WebSocket API 云原生API网关支持创建WebSocket API。WebSocket API主要适用于即时交互的业务场景。

本文为您介绍如何通过云审计查看云产品的操作记录。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景。本文为您介绍如何通过云审计查看云资源的操作记录。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围； 读写类型：支持根据事件的读写类型进行筛选； 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）； 操作用户：支持根据同一租户下的不同主子账号进行筛选； 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

本文向您介绍天翼云Windows云主机远程连接时出现报错“您的连接已丢失”时的解决方案。 问题描述 远程桌面连接Windows云主机时候报错：“您的远程桌面会话已结束，另一用户已连接到此远程计算机，因此您的连接已丢失。” 解决方法 1. 使用管理控制台VNC方式登录弹性云主机。 2. 点击“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3. 依次选择“计算机配置 > 管理模板>Windows组件 > 远程桌面服务>远程桌面会话主机 > 连接”。 4. 点击“将远程桌面服务用户限制到单独的远程桌面服务会话”，修改配置为“已禁用”，单击“确定”保存，在命令窗口执行 gpupdate /force，更新组策略。 5. 在命令窗口执行 gpupdate /force，更新组策略。

本小节介绍云堡垒机服务等级协议。 天翼云云堡垒机（原生版）服务等级协议

本节介绍了创建事件监控告警通知的操作场景、操作步骤等内容。 操作场景 本章节指导用户针对事件监控创建告警规则。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务 CES”，进入“云监控服务”信息页面。 步骤 3 在左侧导航栏选择“事件监控”，进入“事件监控”页面。 步骤 4 在事件列表页面，单击页面右上角的“创建告警规则”。 步骤 5 在“创建告警规则”界面，配置参数。 表 告警内容参数说明 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 描述 告警规则描述（此参数非必填项）。 告警类型 用于指定告警规则对应的告警类型。 事件类型 用于指定告警规则对应指标的事件类型。 事件来源 事件来源的云服务名称。 选择“关系型数据库”或者“数据库代理”。 触发规则 关联模板：所关联模板内容修改后，该告警规则中所包含策略也会跟随修改。 建议选择导入已有模板，模板中已经包含CPU使用率、内存使用率、磁盘利用率三个常用告警指标。 自定义创建：自行配置告警策略。 模板 触发规则选择关联模板时，需要选择模板。 您可以选择系统预置的默认告警模板，或者选择自定义模板。 单击 开启“发送通知”，生效时间默认为全天，若没有您想要选择的主题，可以单击下一行的“创建主题”进行添加。 表 发送通知 参数 参数说明 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 出现告警 步骤 6 配置完成后，单击“立即创建”，完成告警规则的创建。 结束

批量导入资产 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3.单击“导入”按钮，在弹出的对话框中下载导入模板。 4.在导入模板文件中填写内容，填写完成后保存。 说明 模板中红色标题为必填项； 多个资产组用英文逗号“,”隔开； 资产类型为Windows服务器或Unix/Linux服务器时只会判断录入黑色标题的端口协议； 资产类型为数据库时只会判断录入蓝色标题的端口协议且协议有填写时对应的服务名必填。 参数 参数说明 取值样例 资产名称 自定义新增的资产名称。 Test 资产类型 填写新增的资产类型：可填Windows服务器 、Unix/Linux服务器 或数据库。 Windows服务器 IP地址 填写纳管资产的IP地址。 0.0.0.0 资产组 填写新增资产所属的资产组。 资产描述 填写资产的描述。 协议 填写协议的端口： 资产类型为Windows服务器 或Unix/Linux服务器 时只会判断录入黑色标题 的端口协议； 资产类型为数据库 时只会判断录入蓝色标题的端口协议且协议有填写时对应的服务名必填。 访问信息 填写资产的访问编码，仅支持填写“UTF8”或“GBK”。 GBK 5.上传已经填写完成后的导入模板，单击“提交”完成资产导入。