本章节主要介绍翼MapReduce服务隔离主机。 操作场景 用户发现某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。在为集群安装补丁的场景中，也支持排除指定节点不安装补丁。 该任务指导用户在MRS Manager上根据实际业务或运维规划手工将主机隔离。隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 操作步骤 在MRS Manager单击“主机管理”。 1. 勾选待隔离主机前的复选框。 2. 选择“更多 > 隔离主机”。 3. 在“隔离主机”，单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“操作状态”显示为“已隔离”。 说明 已隔离的主机，可以取消隔离重新加入集群，请参见

本章节主要介绍翼MapReduce的下载日志操作。 操作场景 FusionInsight Manager支持批量导出各个服务角色所有实例生成的日志，无需手工登录单个节点获取。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 日志 ＞ 下载”。 3. 选择日志下载范围。 “服务”：单击勾选所需服务。 “主机”：填写服务所部署主机的IP，也可单击勾选所需主机。 单击右上角的设置日志的起始收集时间“开始时间”和“结束时间”。 4. 单击“下载”完成日志下载。 下载的日志压缩包中会包括对应开始时间和结束时间的拓扑信息，方便查看与定位。 拓扑文件以“topo .txt”命名。文件内容包括节点IP、节点主机名以及节点所安装的服务实例（OMS节点以“Manager:Manager”标识）。 例如： 192.168.204.124suse124DBService:DBServer;KrbClient:KerberosClient;LdapClient:SlapdClient;LdapServer:SlapdServer;Manager:Manager;meta:meta

训练任务管理 训练任务创建完成后进入“资源准备中”“排队中”“环境准备中”‘“开始运行”“运行完成”，在这个过程中如果发生任务配置错误、耗时过长或者资源冲突时，可以点击“停止”和“删除”。 复制任务：如果已经创建了一个训练任务可以在列表中点击“复制”，复用该任务的配置和输入参数创建一个新的训练任务。 任务详情：支持查看当前训练任务的配置参数（基础信息、数据集、挂载模型、节点信息）、事件、日志（节点维度）、监控（GPU使用率、CPU使用率内存、网络IO等）、查看Tensorboard和算力检查。任务每次启动都会生成一个新的实例，这里叫做一次运行记录。一次运行记录显示了实例ID、实例最终状态、启动时间。 设置告警 配置告警发送事件：通过告警设置可以监控训练任务状态任务异常、任务断点续训和任务运行完成。默认这三类事件都不开启告警。 配置告警发送方式：消息会自动发送到您天翼云账号对应的手机号和邮箱内，可前往账号中心进行设置或修改。

p16a911fa5079f0e6)：配置异常登录白名单 开启定时漏洞扫描 配置基线检测策略 开启弱口令定时检测 开启定时扫描病毒 设置文件完整性保护检测规则 配置勒索诱饵防护 当云主机接入防护后，用户还需要根据业务需求进行防护配置。 其中入侵检测已默认开启防护，无特殊需求，无需再手动配置。避免异常登录误报，建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 步骤四：通知设置 开启告警通知 开启告警通知后，当检测到资产存在风险时，会根据您配置的告警策略，向您发送告警通知，帮助您及时了解资产的安全情况。 步骤五：报表配置 订阅报表 服务器安全卫士（原生版）支持生成日报、周报、月报，并支持订阅报表，订阅后系统会在报表生成后将报表发送至您的邮箱。 开通服务器安全卫士（原生版） 首次使用服务器安全卫士（原生版）时，需要先开通服务。 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 工作负载安全 > 服务器安全卫士（原生版）”，进入服务器安全卫士（原生版）产品详情页，选择“管理控制台”。 3. 进入服务器安全卫士（原生版）管理控制台后，弹出下方“服务开通申请”对话框。 4. 阅读《天翼云服务器安全卫士（原生版）服务协议》后，勾选“我已阅读并同意相关协议《天翼云服务器安全卫士（原生版）服务协议》”，单击“同意”，即可开通服务器安全卫士（原生版）服务。

接口描述：调用本接口查询IPA用户连接数数据 请求方式：post 请求路径：/statistics/queryrequestnumdata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 时间粒度为24h时，查询开始时间与结束时间需要跨天，否则查询的数据为空； 最大返回50000条记录； 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如请求5分钟粒度数据，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间20211013 00:00, 20211013 00:05)； 根据请求参数时间粒度（Interval）和聚合维度（groupby）个数的不同，单次请求可查询历史数据范围，数据延迟，对应如下表，若开始时间超过可查询历史数据时间范围，超过部分的数据为0。 时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天 请求参数说明（json）： 参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list 否 产品类型 传“009”代表应用加速，不传代表全部产品。 domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看[地区及省份列表。 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商列表。 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6、other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol。 返回参数说明： 参数 类型 是否必传 名称 说明 code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳，时间戳(秒) endtime int 否 结束时间戳，时间戳(秒) interval string 否 时间粒度 和输入保持一致，1m，5m，1h，24h。 reqrequestnumdatainterval list 否 每个时间间隔的用户连接数数据 reqrequestnumdatainterval[].timestamp int 否 时间片开始时间戳 reqrequestnumdatainterval[].producttype string 否 产品类型 reqrequestnumdatainterval[].domain string 否 域名 reqrequestnumdatainterval[].province int 否 省编码 reqrequestnumdatainterval[].isp string 否 运营商编码 reqrequestnumdatainterval[].requestnum int 否 用户连接数 reqrequestnumdatainterval[].missrequestnum int 否 回源连接数

本文为您介绍云硬盘的磁盘模式以及不同磁盘模式的主要应用场景以及使用注意事项。 磁盘模式的定义与分类 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 根据其是否支持高级的SCSI命令来判断划分磁盘模式。其中，VBD为默认模式，相较于SCSI，只支持较简单的读写命令。而SCSI类型的磁盘则可以提供一些高级特性，如命令队列、多点访问、热插拔等，支持更高级的SCSI指令。 磁盘模式在订购完成后不能修改，在购买时请谨慎选择。 说明 FCSAN协议仅支持物理机使用，当前仅支持在上海7开通。 VBD模式是所有资源池默认的磁盘模式。 选择的资源池和磁盘类型同时决定了创建的云硬盘是否支持SCSI模式，逻辑如下： HDD磁盘选择SCSI模式的资源池为：拉萨3/西南2贵州/西宁2/庆阳2/呼和浩特3。 SSD磁盘选择SCSI模式的资源池为：西南2贵州/庆阳2/呼和浩特3/华北2/郑州5/上海36/西南1/西宁2。 不同磁盘模式的主要应用场景 VBD模式：作为云硬盘的默认磁盘模式，VBD可以应用于绝大多数业务场景，作为云主机的驱动器，提供持久化存储，用于操作系统、应用程序和数据的安装和存储，也可以作为数据库服务器的存储设备等等。 SCSI模式：天翼云共享盘需要在集群环境下使用，多数集群在配置使用过程中是需要使用SCSI锁的，例如Windows MSCS集群等，因此在集群应用场景中推荐使用SCSI模式共享盘。 FCSAN模式：目前仅支持物理机使用。

本节介绍云解析相关术语。 域名 域名类似于网络上的门牌号码，是用于识别和定位互联网上计算机的层次结构式字符标识，与该计算机的互联网协议（IP）地址相对应。但相对于IP地址而言，更便于使用者理解和记忆。 DNS 域名系统（Domain Name System，DNS）是一个全球性的分布式系统，独立于任何系统平台和网络，是全球域名体系的承载体，完成易于记忆的域名与难以记忆的IP地址之间的映射。 DNS结构 全球域名体系从结构上呈倒立树型分层结构。整个系统体系可以划分成四个服务环节，分别是根域权威解析、顶级域权威解析、二级和二级以下域的权威解析、递归解析服务。 域名解析 将域名映射为IP地址的过程，由DNS客户端和DNS服务器完成整个解析过程。 域名解析涉及的四个DNS服务器： 根域名服务器（Root nameserver），提供域名所在顶级区域的权威服务器名称和地址。 顶级域名服务器（Tld nameserver），提供域名所在二级区域中权威名称服务器列表。 权威域名服务器，提供域名在本区域内与IP地址的对应关系，例如天翼云云解析。 本地域名服务器（Local DNS），处理来自解析器发出的递归查询请求，并最终返回准确的DNS服务器。 主机名 因特网上的主机或Web站点的名称。主机名映射到IP地址，但是主机名和IP地址之间没有一对一关系。

本节介绍了安全组、安全组规则、安全组的限制。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。 您也可以根据需要创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云主机无需添加规则即可互相访问。默认安全组您可以直接使用，详情请参见默认安全组和规则。 说明 安全组需在网络互通的情况下生效。若实例属于不同VPC，但同属于一个安全组，则此安全组不生效，您可以使用对等连接等产品建立VPC连接互通。 安全组规则 安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云主机出入方向网络流量进行访问控制，当云主机加入该安全组后，即受到这些访问规则的保护。 每个安全组都自带默认安全组规则，详情请参见默认安全组和规则。您也可以自定义添加安全组规则，请参见默认安全组和规则。 安全组的限制 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 默认情况下，一个云主机或扩展网卡建议选择安全组的数量不多于5个。 云主机或扩展网卡绑定多个安全组时，安全组规则先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。 安全组添加实例时，一次最多可添加20个实例。 一个安全组关联的实例数量建议不超过1000个，否则可能引起安全组性能下降。 当安全组规则配置为以下情况时，不支持针对下列类型的云主机生效。 安全组规则限制 安全组规则 不支持的云主机类型 :: 策略选择“拒绝” X86计算型，具体规格请参见规格清单 1.通用计算型（S1型、C1型、C2型 ） 2.内存优化型（M1型） 3.高性能计算型（H1型） 4.GPU加速型（G1型、G2型） 源/目的地址为“IP地址组” 协议端口配置为不连续端口号 X86计算型，具体规格请参见规格清单 1.通用计算型（S1型、C1型、C2型 ） 2.内存优化型（M1型） 3.高性能计算型（H1型） 4.GPU加速型（G1型、G2型）

如何为云点播配置CDN加速服务? 如何为云点播配置CDN加速服务？ 1、用户需先选定CDN服务供应商，推荐使用天翼云CDN服务。 2、用户可在控制台【区域管理】获得存储桶地址。请注意，云点播对外暴露三个存储桶地址，分别为“原视频桶地址”、“转码视频桶地址”和“截图桶地址”，用户可根据自身需要选择对应的存储桶地址（类似vodoriginexample.gdoss.xstore.ctyun.cn的域名）。如下图所示： 3、将以上步骤获得的桶域名提供给CDN运营商，在回源域名和回源HOST处，将该域名填入。注意：（1）回源HOST必须与回源域名保持一致。（2）每一条桶域名对应一组CDN配置，若存在多个桶域名，需要多条CDN配置。 4、其余高级CDN配置可咨询CDN供应商。 注意 由于云点播的签名验证机制较为复杂，如果不能妥善处置相应签名的透传、防盗链等问题，可能导致通过CDN域名访问出现失败，因此在配置初始可尝试将存储区域ACL权限设置为【公共读】，以实现不带签名快速验证的目的。但配置为公共读以后，互联网上任何用户都可以对该Bucket内的文件进行访问，这可能造成您数据的外泄以及费用激增，请谨慎配置公共读权限。

项目 约束 计费模式 当前只支持“按需计费”模式。 联邦名称 实例名称不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 容器舰队 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多联邦管理、网格等能力。 舰队成员集群与联邦之间若存在跨资源池互通需求，后台默认尝试公网互联方式；若需调整，请在订购后至联邦控制台进行设置。 企业项目 可选择已有企业项目，或者在IAM创建新的企业项目。 虚拟私有云 建议联邦实例与成员集群间网络尽可能同资源池同 VPC，可最大化降低管理流量跨网跨资源池互通的成本。 所在子网 请选择虚拟私有云子网，集群的节点将部署在此子网中，并申请子网的 IP。当子网开启IPv6时，云资源（云主机、物理机）将开启 IPv4/IPv6 双栈。 ApiServer访问 请您根据需求选择合适的ELB规格，系统将据此创建一个私网ELB实例作为 APIServer 的负载均衡器，若删除该ELB实例会导致 APIServer 无法访问。 安全组 可自动生成或者选择已有安全组，需要确保联邦访问端口在虚拟私有云的子网里为放通状态。 是否使用EIP暴露ApiServer 获得您的授权，以委托方式新建 EIP 并按 EIP 实际使用量收费，未开启，无法通过公网访问 APIServer。 删除保护 防止通过控制台或API误删除联邦控制面，删除联邦控制面实例不会对用户容器集群造成任何影响，理论上也不影响已调度完成的应用。

本章节仅介绍各场景下自定义网络和自定义网络ACL策略的JSON文本内容。 自定义网络和自定义网络ACL相关策略未在物理机 FullAccess、物理机 CommonOperations或物理机 ReadOnlyAccess系统策略中定义，您需要创建自定义策略来实现创建、修改、删除自定义网络和自定义网络ACL等操作。 场景一：自定义网络和自定义网络ACL依赖的授权项 自定义网络和自定义网络ACL依赖的授权项必须包含：ecs:servers:list、bms:servers:list { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list" ] } ] } 如果未添加这些授权项，用户将无法进入物理机列表页面，也就无法进行任何自定义网络和自定义网络ACL相关的操作。 场景二：创建自定义网络 创建自定义网络对应授权项为：bms:virtualNetworks:create。 除了依赖场景一：自定义网络和自定义网络ACL依赖的授权项中的授权项外，还依赖vpc:vpcs:list，因为自定义网络创建页面会查询VPC列表。 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:create" ] } ] } 场景三：查询自定义网络列表 查询自定义网络列表对应授权项为：bms:virtualNetworks:list 完整的策略内容如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:servers:list", "bms:servers:list", "vpc:vpcs:list", "bms:virtualNetworks:list" ] } ] }

使用前须知。 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持云贡献到Apache社区的注册配置中心Servicecomb引擎、开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 使用条件 已注册账号并登录。 当前登录账号拥有创建微服务引擎的权限。 登录微服务引擎控制台 1. 登录天翼云控制台。 2. 单击，选择区域。 3. 单击左上角，在服务列表选择“微服务引擎CSE”，进入微服务引擎控制台。 说明 当您使用从ServiceStage发放的微服务引擎实例时，如想在CSE中发放新实例，需要对CSE云服务进行授权。 当您没有授予任何权限时，由于CSE使用依赖VPC、DNS云服务，因此需要先创建云服务委托，将操作权限委托给CSE。 授权后，CSE将在统一身份认证服务为您创建名为cseadmintrust的委托，授权成功后，可以进入服务委托列表查看。该操作需要有Security Administrator角色权限，请到“统一身份认证”服务中确认。 如不授权，将影响微服务引擎部分功能的正常使用，包括：创建引擎、升级引擎、开启/关闭安全认证。

本节介绍如何查看域名监控数据。 域名监控页面和监控详情页均展示最新的监控数据，若域名监控处于“未开启”状态，则监控详情页展示关闭前最后一次扫描结果。 查看监控列表 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 查看已经添加的域名监控列表。 参数 说明 绑定域名/IP 已添加至域名监控列表的域名或IP地址。 状态 域名监控状态： 扫描中：已成功添加域名，正在对域名进行扫描。 正常：域名监控状态正常。 失败：可能由于网络波动或域名填写有误，造成扫描失败。建议检查域名信息和网络连接后，尝试重新扫描。 未开启：未开启域名监控，单击“监控”列的开关可以随时开启域名监控。 证书品牌 域名绑定的证书的版本。例如：标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia等。 证书类型 域名绑定的证书的种类。包括DV、OV、EV。 证书到期时间 域名绑定的证书的到期时间。 安全等级 共支持如下9个等级，A+为最高级。 监控剩余天数 域名监控的剩余天数。 域名监控服务有效期为365天，从添加域名成功后开始计时，关闭域名监控功能，计时不会停止。 “监控剩余天数”不充足时，可单击“续期”延长使用时长，详细操作请参见延长监控剩余天数。 监控频率 域名监控频率，默认为30分钟，即每30分钟会自动扫描一次。 端口 监控域名的端口。 监控 可随时开启监控或关闭监控。详细操作请参见开启/关闭域名监控。

参数 描述 平台名称 向上级联的平台名称。 SIP服务国标编码 该信息一般由上级平台提供，也可以由上下级平台协商确定，用于上下级平台相互身份鉴权。 SIP服务国标域 SIP服务国标域默认截取SIP服务国标编码的前10位。 SIP服务IP/端口 由上级平台提供。 设备国标编号 下级平台的国标编号。 级联区域 上下级平台进行级联的区域，一般选择较近的区域即可。 网络类型 默认选择互联网，专线网络需要天翼云提供IP和端口信息。 开启鉴权 根据级联需要选择开启/关闭鉴权功能。 SIP认证用户名 对应上级平台接入信息设备国标ID。 SIP认证密码 对应上级平台关联的GB28181凭证的凭证密码。 级联方式 根据GB 28181协议标准，支持虚拟业务组和行政区划两种方式（ 将会影响平台下设备目录的构建方式 ）。 所属行业 根据GB 28181协议标准，选择所属行业。 上级级联区域 选择上级平台的所属区域。 信令传输 支持TCP和UDP两种协议。 字符集 支持GB2312和UTF8两种字符集，UTF8涵盖更广泛的中文字符范围，而GB2312在平台兼容性方面表现更为稳定。在平台对接中，若未明确指定字符集，建议优先选择GB2312。 35114国密认证 开启35114国密认证，需要上级平台支持。开启后，您需要在级联平台页面创建证书请求并上传相关证书。 注册周期 注册周期不小于300秒。 心跳周期 心跳周期不小于60秒。 分组目录大小 执行目录推送任务的时候，单个消息包含的目录数量。 权限集合 支持复选，包含云台、流保活和录像下载。 是否使用通道的实际名称 开启该功能，NVR通道向上级联使用通道的实际名称，仅支持GB28181协议和EHOME协议。 级联映射 上下级平台因防火墙等情况无法访问时，开启该选项，可分别配置本地和上级地址映射。 描述 请输入平台级联的相关描述，例如平台属性、用途等。

网站安全监测产品有不同规格、应该选择哪个，该如何选择？ 网站安全监测当前有体验版、专业版和旗舰版三个版本，每个版本在功能和漏洞检测频率有差异。基础业务安全监测需求推荐使用体验版，提供可用性监测、安全事件监测、内容安全监测等。如果有图片审核需求推荐专业版的套餐，提供基础业务安全监测的同时，也提供图片审核功能。用户需要自定义配置需求就推荐旗舰版套餐，可支持自定义配置和人工验证等操作，按需购买即可。 网站安全监测的产品是否支持试用？ 可以支持试用，可以在BCP门户申请试用，目前官网暂未开通试用通道，试用期限为一个月，支持可用性监测，安全事件监测、内容安全监测和图片审核限量100张，漏洞检测一次。 产品网站安全监测产品有哪些优势？ 应用快、免安装，使用便捷，纯SaaS服务，无需安装任何软硬件，只需在控制台提交域名和具体的监测项即可，随买随用。 资源丰富，全网服务，分布式部署，支持多点检测，资源覆盖全国。 可视化管理平台，对用户友好，可视化看板、报表和态势跟踪全方位辅助业务数据跟踪，更好地进行业务管理。 高效率，高专业度：集中监控和分散维护相结合，值班工程师7×24小时集中监控，网络工程师 7×24 小时在线支持。 如果客户目前使用的是非天翼云的服务，是否可以使用网站安全监测产品？ 网站安全监测产品对客户使用服务是没有限制的，只要购买服务，在控制台配置域名和监测项即可，无需客户改变任何网络架构，不需要修改CNAME。 版本和扩展服务的有效期之间是否有关联？ 是的，扩展服务的有效期是与版本的有效期一致的，如果用户的版本过期，扩展服务的功能也随之失效。 用户可以直接购买扩展服务进行使用吗？ 不能直接购买扩展服务使用，用户需要选择版本后，可以购买扩展服务态势感知大屏进行使用，订购扩展服务的前提是必须订购版本且版本在服务中的状态。

本文向您介绍弹性IP服务的基本概念。 独享带宽 当您购买EIP时，无论是哪种计费模式，只要没有加入共享带宽，那么您的EIP使用的是独享带宽。 您可以根据业务需求随时调整独享带宽大小，带宽大小的修改即时生效。 独享带宽支持对单个EIP进行限速，该EIP只能被一个云资源（弹性云主机、NAT网关、弹性负载均衡等）使用。一般情况下，如果所有IP业务都是同时间进行公网访问，建议使用独享带宽。 共享带宽 共享带宽可以实现多个EIP共同使用一条带宽，针对多个EIP进行集中限速。 同一区域下的所有已绑定EIP的ECS、ELB等实例共用一条带宽资源，实现VPC和区域级别的带宽统一管理，同时方便运维统计和运营成本结算。 区域和可用区 什么是区域、可用区 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本节介绍了云电脑（公众版）支持在天翼云电脑移动客户端进行续订操作。 云电脑（公众版）支持续订产品使用日期。 1. 登录“天翼云电脑”安卓移动客户端； 2. 选择“云电脑”列表查看需要续订的云电脑； 3. 点击“管理”进入管理页面，选择“续订“； 4. 选择续订的购买时长并提交订单； 5. 确认订单并完成支付，支付成功后续订即生效。 说明 1、在天翼云电脑（安卓）App、天翼云App、天翼云官网进行订购的云电脑公众版支持在天翼云电脑移动客户端进行产品变更操作管理。 2、在营业厅订购云电脑公众版产品的用户请到营业厅咨询产品变更流程。

服务类型 计费项说明 适用的计费模式 计费公式 SSL证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 私有（内网）证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 个人证书 个人证书是由权威CA机构颁发的数字身份证，用于身份认证、数据签名和加密通信等场景。 按个计费 个人证书单价 ×购买数量 × 有效期（购买年份） 证书托管服务 对于天翼云上云产品，实现证书更新后的自动替换能力。 按次计费 托管证书服务单价 × 购买数量 第三方证书部署服务 上传证书一键部署到云产品的服务，将证书部署到一个云产品资源，需要消耗一次部署服务。 按次计费 部署服务单价 × 购买数量 域名监控服务 开启域名监控后，可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 按次计费 域名监控服务单价 × 购买数量

本节介绍了智能边缘云的主要应用场景。 AI模型推理 边缘云有丰富的GPU资源，可以支撑多种AI模型推理场景，可涵盖生活、工作、娱乐、公共服务等众多领域，例如 图像生成编辑：通过AI生成艺术作品、广告素材或修复旧照片。 城市交通管理：实时监控交通流量，通过AI技术进行交通流量监控，及时发现拥堵路段。 生产线视觉质检：通过AI进行质量检测，能够自动识别产品缺陷，提高生产效率和产品质量。 医疗影像诊断：利用深度学习技术辅助医生识别CT、MRI图像中的异常病变，提高诊断准确率和效率。 个性化内容推荐：如新闻、视频、音乐等内容的个性化推荐，提升用户体验。 互动直播 在互动直播场景中，客户可以将转码、连麦、弹幕、切片等业务部署在边缘计算节点，离终端用户更近，提升用户体验，降低中心成本。具备以下优点： 本地覆盖：节点分布广泛，保障用户就近接入。 多样算力：提供GPU服务器等多样化算力，提升特效渲染、高清转码、内容审核等场景处理的性价比。 降低中心带宽：将业务下沉至边缘，降低中心带宽成本压力。 本地园区 在靠近终端用户的边缘节点，提供低时延的计算服务；甚至可以在客户的园区提供计算能力，做到流量本地化，数据不出园区。具备以下优势： 企业数据安全：企业最重视的确保企业数据的传输及存储安全。 高速稳定的多种网络：接入对于固网、WLAN、移动等网络的兼容接入，调用能力访问业务。

功能验证 1. 打开远程连接工具putty，输入此弹性云主机实例的弹性公网IP，先默认使用22端口登录，可以看到连接被拒绝，网络已中断，说明目前22端口已经无法进行远程登录。 2. 配置实例的安全组，放行TCP协议2222端口，具体操作，请参见配置安全组规则 3. 配置完成之后，使用SSH工具连接新端口2222，在port下输2222，可看到能够成功连接。

添加对端路由信息 1. 对端账户登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 在对等连接详情页面，选择“对端路由”页签，根据界面提示，点击“路由表”超链接，进入对端VPC路由表的详情页面。 6. 在路由表详情页面，选择“路由规则”页签，点击“创建”按钮。 7. 根据页面提示，添加对端路由信息。 参数 说明 IP类型 根据实际情况选择使用IPv4还是IPv6。 目的地址 目的地址，本端vpc或子网的网段。 下一跳类型 选择“对等连接网关”。 对等连接网关 选择当前对等连接的名称。 描述 路由的描述信息，非必填项。 8. 路由信息设置完成后，点击“确定”。 9. 返回路由列表，即可看到刚添加的路由。

本节说明了客户在使用智能边缘云需要明确注意的事项 节点资源差异 不同的边缘节点存在资源差异，包括但不限于云硬盘、本地盘、本地裸盘的资源服务能力，GPU卡的资源服务能力，裸金属的资源服务能力。 本地硬盘可提供的规格大小根据宿主机型号不同而不同，不同资源节点宿主机型号也可能存在差异。 不同资源节点可提供的虚拟机、裸金属规格可能存在差异。 节点可用性 ECX的服务可用性（SLA）不低于99.9%，详情请参见[[服务等级协议]](/portal/protocol/10012558)。 以下原因所导致的服务不可用时间，不在计算范围内： 中国电信预先通知客户后进行系统维护所引起的，包括割接、维修、升级和模拟故障演练。 任何中国电信所属设备以外的网络、设备故障或配置调整引起的。 客户的应用程序受到黑客攻击而引起的。 客户维护不当或保密不当致使数据、口令、密码等丢失或泄漏所引起的。 客户的疏忽或由客户授权的操作所引起的。 客户未遵循中国电信产品使用文档或使用建议引起的。 不可抗力引起的。

本节主要介绍SNAT规则管理的方式。 操作场景 NAT网关创建成功后，您需要创建SNAT规则。通过创建SNAT规则，虚拟私有云子网中全部或部分云主机可以通过共享弹性IP访问公网，或云专线/VPN用户侧端该网段下的服务器可以通过共享弹性IP访问公网。 一个子网对应一条SNAT规则，如果VPC中有多个子网需要访问公网，则可以通过创建多个SNAT规则实现共享一个或多个弹性IP资源。 前提条件 NAT网关创建成功。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。 3. 在NAT网关页面，单击需要添加SNAT规则的NAT网关名称。 4. 在SNAT规则页签中，单击“添加SNAT规则”。 5. 根据界面提示，配置添加SNAT规则参数，详情请参见下表。 参数 说明 使用场景 SNAT规则使用的场景。当虚拟私有云中的云主机需要访问公网时，选择虚拟私有云。 当云专线/VPN本地数据中心端的服务器需要访问公网时，选择云专线。 类型 云主机访问公网的方式。当使用场景为虚拟私有云时，需要配置此参数。 当虚拟私有云子网中的全部云主机需要通过SNAT方式访问公网时，选择子网，使该子网中的云主机通过SNAT方式访问公网。 当虚拟私有云子网中的部分云主机需要通过SNAT方式访问公网时，选择自定义，使该网段中的云主机通过SNAT方式访问公网。 子网 选择虚拟私有云中的子网，可实现该子网中的云主机通过SNAT的方式访问公网。 当使用场景为虚拟私有云，类型为子网时，需要配置此参数。 网段 使用场景为虚拟私有云时，通过配置虚拟私有云子网中的某个网段，使该网段中的云主机通过SNAT方式访问公网。 使用场景为云专线时，通过配置专线侧本地数据中心的某个网段，使该网段中的服务器通过SNAT方式访问公网。 弹性IP 用来提供互联网访问的公网IP。这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 描述 SNAT规则信息描述。最大支持255个字符。 6. 配置完成后，单击确定，完成“SNAT规则”创建。 说明 根据您的业务需求，可以为一个NAT网关添加多条SNAT规则。

本节介绍了天翼云电脑（公众版）支持在天翼云电脑移动客户端进行退订操作。 天翼云电脑（公众版）是支持退订的。 1. 登录“天翼云电脑”安卓移动客户端； 2. 选择“云电脑”列表查看需要退订的云电脑； 3. 点击“管理”进入管理页面，选择“退订“； 4. 点击“确认退订”后即退订成功（退订后所有数据将不会保留）。 说明 1、在天翼云电脑（安卓）App、天翼云App、天翼云官网进行订购的云电脑公众版支持在天翼云电脑移动客户端进行产品变更操作管理。 2、在营业厅订购云电脑公众版产品的用户请到营业厅咨询产品变更流程。

本节介绍了KVM实例变更为QingTian实例的操作场景、约束与限制、操作流程、后续处理。 操作场景 本节介绍将KVM实例变更为QingTian架构实例的操作步骤。 说明 KVM实例：参考实例规格，查询对应规格的虚拟化类型。 QingTian架构实例：选择“通用计算增强型C7”、“通用计算增强型C7t”、“内存优化型M7”、“鲲鹏通用计算增强型Kc2”。 约束与限制 Windows操作系统云主机不支持“KVM实例”变更为“QingTian实例”。 变更规格过程中，弹性云主机需要关机，建议您选择业务空闲时间进行操作。 变更规格时不支持修改网络类型。 Linux操作系统云主机的系统盘和数据盘如果存在由多个物理卷组成的LVM逻辑卷或组建了RAID磁盘阵列，均不支持变更规格，否则可能会导致数据丢失。 C7、M7型云主机仅支持使用SCSI磁盘模式挂载磁盘，不支持使用VBD磁盘模式挂载磁盘。即磁盘标识为wwn。 支持将“KVM实例”变更为“QingTian实例”，不支持将“QingTian实例”变更为“KVM实例”。 不支持“XEN实例” 变更为“QingTian实例”。 如果云主机操作系统的逻辑卷管理器（LVM）启用了system.devices文件功能，规格变更后可能会使LVM根据system.devices文件匹配不到磁盘，导致LVM无法识别。基于Red Hat Enterprise Linux 9的操作系统默认启用了system.devices设备文件功能，例如CentOS 9.x、Rocky Linux 9.x等版本。对于使用这些版本操作系统的云主机，在变更前需要将/etc/lvm/device里的system.devices文件重命名或者移走，然后再进行变更操作。更多介绍，请参见限制LVM设备可见性和用法。

提升云主机的端口安全 安全组是云主机的守卫，是重要的网络安全隔离手段，可以保护云主机的网络安全。安全组可以控制进出云主机的网络流量。网络流量分为出方向和入方向，出方向是指您想访问别人，入方向就是别人想访问你。如果把云主机比作一个宫殿，那安全组就像是一个守卫者，谁能进出，都由安全组规则控制。 通过配置安全组规则，限定云主机出方向和入方向的访问端口，通常我们建议您关闭高危端口，仅开启必要的云主机端口。 常见的高危端口如表 93所示，建议您修改敏感端口为其它非高危端口来承载业务。 表 常见的高危端口 协议 端口 :: TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996 定期升级操作系统 云主机申请完成后，系统内的所有配置都是需要您自行维护，云平台不负责客户系统补丁的升级，对于官方发布的一些漏洞预警，我们会有安全公告，需要您自行升级维护。

本章节介绍如何管理服务来源 概述 云原生网关无缝对接天翼云注册配置中心和云容器引擎，通过服务发现模块监听服务来源，动态感知后端服务。整体架构如下： 创建云容器引擎服务来源 云原生网关支持云容器引擎作为服务来源，本文介绍添加云容器引擎作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择容器服务；在容器集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的容器集群） 8. 根据需要勾选是否监听K8s Ingress选项并配置监听命名空间的标签，详细参考Ingress管理章节 创建注册配置中心服务来源 云原生网关支持MSE注册配置中心作为服务来源，本文介绍添加注册配置中心作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择MSE Nacos（当前仅支持Nacos引擎）；在集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的集群）

自动扫描性能说明和配置建议 性能说明： 数据面底层SCAN扫描间隔5ms，相当于1秒钟扫描200次。迭代扫描key数量设为10/50/100/1000时，每秒钟扫描2000/10000/20000/200000个key。 每秒钟扫描key数量越大，CPU占用率也相应增加。 测试参考： 使用主备实例测试，在有1000万不过期和500万过期的key，过期时间为110秒的场景下，完成一次全库扫描，测试数据如下： 说明 以下测试结果仅供参考，不同局点环境和网络波动等客观条件可能产生差异。 自然删除，每秒删除1万条过期key，删除500万过期key，耗时约为8分钟，CPU占用率约为5%。 “迭代扫描key数量”设为10，耗时约为 1500万/0.2万/60秒 125分，CPU占用率约为8%。 “迭代扫描key数量”设为50，耗时约为 1500万/1万/60秒 25分， 删除key时CPU占用率约10%。 “迭代扫描key数量”设为100，耗时约为 1500万/2万/60秒 12.5分， 删除key时CPU占用率约20%。 “迭代扫描key数量”设为1000，耗时约为 1500万/20万/60秒 1.25分，删除key时CPU占用率约为25%。 配置建议： 您可根据实例中key总量以及key增长情况，来配置迭代扫描key数量和扫描间隔。 如测试参考中，1500万key总量，“迭代扫描key数量”设为10，扫完一遍需约125分，那么扫描间隔建议设置4小时以上。 如果希望提高扫描速度，那么可以将“迭代扫描key数量”设为100，扫完一遍需约12.5分，那么扫描间隔建议设置30分钟以上。 迭代扫描key数量越大，扫描速度越快，CPU占用率也相应增加，用户要平衡耗时和CPU占用率。 如果过期key数量增长速度不快，可以一天执行一次过期key扫描。 建议将扫描开始时间设置为业务低峰期。将扫描间隔设为1天，超时时间设为2天。

前提条件 在同一VPC内，已经完成后端资源的创建。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击“”图标，选择区域和项目。 3. 单击“服务列表”中的“网络 > VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“VPC终端节点 > 终端节点服务”，单击“创建终端节点服务”。 进入“创建终端节点服务”页面。 图 创建终端节点服务 5. 根据界面提示配置参数。 表 终端节点服务配置参数 参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明： 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。 6. 单击“立即创建”。 7. 返回终端节点服务列表可查看创建的终端节点服务。

前提条件 在同一VPC内，已经完成后端资源的创建。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击“”图标，选择区域和项目。 3. 单击“服务列表”中的“网络 > VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“VPC终端节点 > 终端节点服务”，单击“创建终端节点服务”。 进入“创建终端节点服务”页面。 图 创建终端节点服务 5. 根据界面提示配置参数。 表 终端节点服务配置参数 参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云主机：作为服务器使用。 物理机：作为服务器使用此处选择“弹性负载均衡”。说明安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。说明弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。 6. 单击“立即创建”。 7. 返回终端节点服务列表可查看创建的终端节点服务。

非SSL连接 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 通过如下命令进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 ./influx host port 示例： ./influx host 192.xx.xx.xx port 8635 表3 参数说明 参数 说明 待连接节点的内网IP。您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“内网IP”。 如果您购买的实例有多个节点，选择其中任意一个节点的内网IP即可。 待连接实例的端口，一般默认为8635，且不可修改。 您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前GeminiDB Influx实例的端口信息。 输入auth命令，进行身份验证。 auth 根据提示输入用户名和密码。 username： password： 表4 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 5. 验证身份校验通过后，再输入命令 show databases 。 show databases 出现如下信息，表示已连接成功： name: databases name internal

本文介绍使用RedisShake工具离线迁移其他云厂商Redis Cluster集群。 RedisShake基本介绍 RedisShake是一个开源的Redis迁移工具，可以用于在线迁移和离线迁移（通过备份文件导入）。 目前 RedisShake 有三种迁移模式：PSync、RDB 和 SCAN，分别对应 syncreader、rdbreader 和 scanreader。主要有以下三种数据迁移场景： 1. 对于从备份rdb中恢复数据的场景，可以使用 rdbreader。 2. 对于数据迁移场景，优先选择 syncreader。 3. 对于全量复制的场景下或者自研集群不支持 PSync 协议情况下，可以使用 scanreader。 当你需要迁移部署在其他云厂商上的 Redis 集群数据时，如果无法进行在线迁移，你可以选择离线迁移的方式。 离线迁移（备份文件导入） 与在线迁移相比，离线迁移适宜于源实例与目标实例的网络无法连通的场景。 1、在DCS控制台创建缓存实例。 注意新创建的Redis实例容量不能小于源端Redis实例的实际使用容量。 2、准备一台云服务器，并安装RedisShake。 RedisShake既能访问源端缓存实例，也能访问目标端DCS 缓存，需要绑定弹性公网IP 3、导出RDB文件。 使用如下命令导出RDB文件： ./rediscli h {redisaddress} p {redisport} a {password} rdb {output.rdb} 执行命令后回显"Transfer finished with success."，表示文件导出成功。 4、将导出的RDB文件（含多个）上传到云服务器上。 5、编辑RedisShake配置文件。 编辑redisshake工具配置文件shake.toml，补充迁移双方信息，及迁移模式。 [rdbreader] filepath "/tmp/dump.rdb" [rediswriter] cluster false