本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。

本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

本文介绍DDoS高防（边缘云版）到期和欠费如何处理。 到期 客户购买的服务到期当天，天翼云会以短信的方式通知客户，并将冻结服务。冻结的服务允许续费、释放或删除，如客户需继续使用，则可联系客户经理执行续订操作或自行在“控制中心费用中心”进行续订； 若到期7天之后，天翼云会以短信的方式通知客户，客户未续订，资源将被释放。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，并将关停客户的DDoS高防（边缘云版）服务。

本文向您介绍如何排查企业版VPN云上云下无法Ping通的问题。 故障现象 云下数据中心服务器无法Ping通VPC上的ECS服务器。 VPC上的ECS服务器无法Ping通云下数据中心服务器。 可能原因 安全组配置不正确 客户设备侧放通策略配置不正确 客户设备侧路由配置不正确 处理步骤 检查安全组配置 确认default安全组已经放通去往对端子网数据流。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认default安全组已经放通来自对端子网数据流。 确认default安全组已经放通去往本端子网数据流。 确认default安全组已经放通来自本端子网数据流。 确认ECS所在的安全组已经放通去往对端子网数据流。 ECS安全组可以选择“计算 > 弹性云主机”，单击“更多 > 安全组规则配置”查看。 确认ECS所在的安全组已经放通来自对端子网数据流。 检查客户设备侧放通策略 确认客户设备侧已经放通去往VPN本端子网的数据流。 确认客户设备侧已经放通来自VPN本端子网的数据流。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 检查客户设备侧路由配置 确认公网路由配置正确：目的地址为VPN网关EIP地址，下一跳为设备出口地址。 确认私网路由配置正确：目的地址为VPN本端子网，下一跳为设备出口地址。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。

接口介绍 通过接口进行恢复点更换 接口约束 1、云主机存在保护组中 2、云容灾保护组存在 3、恢复点是否存在 URI POST /v4/disaster/replacerestoredisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 ecsID 是 String 云主机ID 参考请求示例 restoreID 是 String 恢复点ID 参考请求示例 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 status 是 String 更换恢复点成功 参考响应示例 msg 是 String 更换恢复点成功描述 参考响应示例

前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 3 单击目标实时会话“操作”列的“监控”，跳转到运维人员运维会话窗口。 4 可查看运维人员实时运维操作，并可分别在会话窗口栏查看历史运维记录、文件传输记录和协同会话参与用户记录。 中断实时会话 运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录。当监控到有违规或高危运维操作时，可通过实时会话阻断会话，阻止运维人员的进一步操作。 本小节主要介绍如何中断实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 实时会话列表 3 单击目标实时会话“操作”列的“中断”，强制断开会话连接。 中断会话后，运维人员会话页面将被立即断开，并收到会话断开连接提示。 运维会话断开连接

此小节介绍云堡垒机产品优势。 HTML5一站式管理 无需安装特定客户端，无需安装任何插件，任意终端的主流浏览器，包括移动端APP浏览器登录，用户随时随地打开即可进行运维。 系统HTML5管理界面简洁易用，集中管理用户、资源和权限，支持批量创建用户、批量导入资源、批量授权运维、批量登录资源等高效运维管理方式。 操作指令精准拦截 针对资源敏感操作进行二次复核，系统预置标准Linux字符命令库或自定义命令，对运维操作指令和脚本的精准拦截，并可通过异步“动态授权”，实现对敏感操作的动态管控，防止误操作或恶意操作的发生。 核心资源二次授权 借鉴银行金库授权机制，针对重要资源的运维权限设置多人授权，若需登录此类资源，需多位授权候选人进行“二次授权”，加强对核心资源数据的保护，提升数据安全防护能力和管理能力，保障核心资产数据的绝对安全。 应用发布扩展 针对数据库类、Web应用类、客户端程序类等不同应用资源，提供统一访问入口，并可提高对应用操作的图形化审计。 数据库运维审计 针对DB2、MySQL、SQL Server和Oracle等云数据库，支持统一资源运维管理，以及SSO单点登录工具一键登录数据库，提供对数据库操作的全程记录，实现对云数据库的操作指令进行解析，100%还原操作指令。

本文介绍云搜索服务需要掌握的基本概念。 实例 云搜索服务是以实例为单位进行组织，一个实例代表一个独立运行的搜索服务，与集群维度对应，由多个相同规格的云主机节点构成。 索引（Index） 用于存储Elasticsearch或OpenSearch的数据，是一个或多个分片分组在一起的逻辑空间，类似于传统数据库，存储具有相同结构的文档。 文档（Document） Elasticsearch或OpenSearch存储的实体，是可以被索引的基本单位，相当于关系型数据库中的行，代表一个具体的实体记录。 分片（Shard） 分片是索引的逻辑分区，用于水平分割数据，提高存储和查询的可扩展性。当您创建一个索引时，您可以根据实际情况指定分片的数量。每个分片托管在实例中的任意一个节点中，且每个分片本身是一个独立的、全功能的“索引”。 分片的数量只能在创建索引前指定，且在索引创建成功后无法修改。 副本（Replica） 副本是实际存储索引分片的一个副本，可以理解为备分片。副本的存在可以预防单节点故障。使用过程中，您可以根据业务情况增加或减少副本数量。 映射（Mapping） 用来定义字段的类型，可以根据数据自动创建。 字段（Field） 组成文档的最小单位，代表特定属性或数据项，每个字段都有一个数据类型和相关设置。

本章节主要介绍云搜索服务的集群状态和存储容量状态说明。 在云搜索服务管理控制台中，直接展现当前云搜索服务中已有集群的状态以及集群存储容量状态。 集群状态说明 状态 说明 可用 表示集群服务正常运行中，并为用户提供服务。 异常 表示集群创建失败或不可用。 如果此集群处于“不可用”状态，支持删除集群操作或将集群正常状态时创建的快照恢复至其他集群。无法执行扩容集群、访问Kibana、创建快照或将快照恢复至此集群的操作。 建议不要执行导入数据的操作，避免数据丢失。您可以查看监控或重启集群，但根据集群故障情况不同这些操作可能执行失败，当执行失败时，请及时联系管理员。 处理中 表示集群正处在重启中、扩容中、备份中或恢复中。 创建中 表示集群正处在创建过程中。 集群存储容量状态 状态 说明 空闲 表示集群中所有节点存储容量使用率小于50%。 警告 表示集群中任一节点存储容量使用率大于 等于50%，小于80%。 危险 表示集群中任一节点存储容量使用率大于等于80%。建议增加集群的存储容量，以便能够正常使用集群进行数据搜索或分析。 异常 表示未能查询到集群的存储容量信息。例如，集群运行故障，状态为“异常”时，此集群的存储容量状态为“异常”。

本文向您介绍如何通过VPN连接云下数据中心与云上VPC。 操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的云主机或者物理设备之间需要进行通信，VPN的状态才会刷新为正常。 前提条件 已创建VPN所需的虚拟私有云和子网。 操作步骤 1. 在管理控制台上，创建VPN网关、用户网关，选择合适的IKE策略和IPsec策略创建VPN连接。 2. 检查本端和对端子网的IP地址池。 3. 为弹性云主机配置安全组规则，允许通过VPN进出本地数据中心的报文。 4. 检查VPC安全组。 5. 检查远端LAN配置（即对端数据中心网络配置）。 假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 从本地数据中心ping云主机，验证安全组是否允许通过VPN进出本地数据中心的报文。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

本文主要介绍如何卸载客户端。 操作场景 该任务指导用户在不需要启用应用一致性备份功能时，卸载Agent。 前提条件 已获取弹性云主机的登录帐号和密码。 卸载Linux版本Agent 步骤1登录需要卸载Agent的弹性云主机，并执行su root 命令切换到root用户。 步骤2、在/home/rdadmin/Agent/bin目录下执行以下命令，卸载Agent。如下图所示。若出现绿色卸载成功字样，表示Agent卸载成功。 sh agentuninstallebk.sh 卸载Linux Agent成功 卸载Windows版本Agent 步骤1、登录需要卸载Agent的弹性云主机。 步骤2、在安装目录的bin目录下选中agentuninstallebk.bat双击打开，卸载Agent。 系统卸载Agent完成后，弹窗自动关闭，卸载成功。如下图所示。 卸载Windows Agent成功

本文帮助您快速熟悉虚拟私有云创建子网的操作流程。 操作场景 申请VPC时会创建默认子网，当默认子网不能满足需求时，您可以创建新的子网。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“虚拟私有云 > 子网”。 4. 单击“创建子网”。进入“创建子网”页面。 5. 根据界面提示配置参数。 6. 单击“确定”。 注意事项 子网创建成功后，有5个系统保留地址您不能使用。以192.168.0.0/24的子网为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围开始，不作分配 192.168.0.1：网关地址 192.168.0.253：系统接口，用于VPC对外通信 192.168.0.254：DHCP服务地址 192.168.0.255：广播地址 如果您在创建子网时选择了自定义配置，系统保留地址可能与上面默认的不同，系统会根据您的配置进行自动分配。

本文将为您介绍用户如何查看各项资源的总配额以及使用情况。 操作场景 为避免资源浪费，天翼云对各项资源的使用都制定了配额，包括资源的创建数量，资源的使用容量等限制，云硬盘作为常见的云资源，其数量、容量在使用过程中也有一定的限制。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 在此地域的资源页面右上角，点击“我的配额”图标，进入资源的服务配额页面。 4. 您可以在“服务配额”页面，查看各项资源的配额情况。如果当前配额已满且不能满足业务要求，用户可申请扩大配额，具体请参见申请扩大云硬盘资源配额。

本文介绍如何修改VPC子网信息。 操作场景 当用户已经创建好了VPC子网信息，此时可以根据业务实际需求来修改VPC配置信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“网络>云专线”，进入到云专线操作导航页面，在左侧导航栏中，单击“云专线>专线网关”，进入到专线网关列表页面。 4. 点击目标专线网关“操作”列的“详情”，进入到专线网关详情页面，在专线网关详情页面点击“VPC”，进入到“VPC”页签。 5. 在“VPC”页签中，单击目标VPC“操作”列的“修改”，根据页面提示，用户可修改VPC子网，具体参数说明请参见添加VPC。 6. 确认修改信息后，单击“确定”，完成VPC子网信息的配置修改。

本文为您介绍弹性云主机启动缓慢的处理方法。 问题现象 弹性云服务器启动时间较长。 处理方法 可以通过修改默认等待时间，提高启动速度。 配置调整方式 1. 首先登录弹性云服务器。 2. 执行以下命令，切换至root用户。 sudo su 3. 执行以下命令，查询grub文件的版本。 rpm qa grep grub 可以看到查询到的grub版本如图。 4. 将grub文件中timeout时间修改为0s。 （1）对于grub版本小于2的： 打开文件“/boot/grub/grub.cfg”或“/boot/grub/menu.lst”，并修改等待时间“timeout0”（打开方式可通过vi或者vim）。 （2）对于grub版本为2的： 打开文件/boot/grub2/grub.cfg，并修改等待时间“timeout0”（打开方式可通过vi或者vim）。 修改timeou的值为0，添加内容如图中。

本文介绍如何查询CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 查询功能 您可以在CC攻击事件表头部指定您要查询的域名（支持多选）及时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 攻击详情 攻击事件列表将展示被攻击域名、攻击开始时间、攻击结束时间、攻击峰值/QPS、攻击总次数。 点击单条攻击事件的攻击详情【查看】按钮，即可查询CC攻击事件的攻击趋势、TOP攻击IP、TOP URL排名。

Windows操作系统 1. 登录Windows弹性云主机。 2. 使用快捷键“Win+R”打开“运行”页面。 3. 输入命令行“cmd”打开命令行窗口。 4. 执行以下命令，修改密码。 net user Administrator 新密码 Linux操作系统 1. 以root用户登录Linux弹性云主机。 2. 执行以下命令，重置root的用户密码。 passwd 根据系统回显信息，输入新密码。 系统显示如下回显信息时，表示密码重置成功。 passwd: all authentication tokens updates successfully

本文通过图文介绍进入客户控制台的步骤。 操作步骤说明 1、打开天翼云官网，注册并登录。 2、右上角单击【控制中心】。 3、在【安全】下拉选择【Web应用防火墙（边缘云版）】，单击进入Web应用防火墙（边缘云版）控制台。

本小节介绍安全专区云数据库审计的添加审计策略。 使用安全管理员用户登录安全管理中心，点击进入云数据库审计。 1.设置审计策略：点击【策略管理】→【审计策略】→【默认策略】，进行编辑。 2.将“未选中的规则”进行全选，左移到“选中的规则”，点击保存即可。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b blacklistID 是 String 告警黑名单ID 46d7bc837ac45238a9342076d0b9f9f0 name 是 String 告警黑名单名称 ctyunalarmblacklist service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs desc 否 String 描述 demo resources 是 Array of Objects 资源信息列表 resources contactGroupList 是 Array of Strings 联系组列表 metrics 否 Array of Strings 指标列表 startTime 否 Integer 开始时间，秒级时间戳，startTime和endTime需同时传或同时不传。 1687337384 endTime 否 Integer 结束时间，秒级时间戳，配合startTime一起使用，结束时间须大于开始时间。 1687338884

匹配源端的不同云厂商的存储类型时，与目的端（ZOS）的存储类型的对应关系如何？ 各个云厂商之间的存储类型对应关系如下表： 云厂商 源端对象存储级别 目的端（ZOS）对象存储级别 S3（含AWS） 标准存储 标准存储 S3（含AWS） 低频存储 低频存储 S3（含AWS） 归档存储 或其他 归档存储 OSS 标准存储 标准存储 OSS 低频存储 低频存储 OSS 归档存储 或其他 归档存储 COS 标准存储 标准存储 COS 低频存储 低频存储 COS 归档存储 或其他 归档存储 OBS 标准存储 标准存储 OBS 低频存储 低频存储 OBS 归档存储 或其他 归档存储 OOS 标准存储 标准存储 OOS 低频存储 低频存储 OOS 归档存储 或其他 归档存储 注意 迁移存储类型为归档的对象需解冻后才能执行迁移。请您务必先全部解冻源端的归档数据，未解冻和解冻中的数据会迁移失败。 解冻后的数据请务必保证不会在迁移中再次冻结数据，请您根据待迁移的数据总量确保解冻时长，以防迁移期间数据再次变成冻结状态。

本节介绍智算套件定义。 产品定义 智算套件是利用云原生架构和技术，在云容器引擎上快速定制化构建AI生产系统，帮助用户基于 Kubernetes 充分利用天翼云上弹性算力，支持弹性训练与推理等场景。 产品介绍 套件名称 套件说明 驱动管理 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 为集群提供集群巡检、故障诊断等能力。 网络 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 支持数据集版本管理，提供弹性加载能力。 弹性训练 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

服务类型 计费项说明 适用的计费模式 计费公式 SSL证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 私有（内网）证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 个人证书 个人证书是由权威CA机构颁发的数字身份证，用于身份认证、数据签名和加密通信等场景。 按个计费 个人证书单价 ×购买数量 × 有效期（购买年份） 证书托管服务 对于天翼云上云产品，实现证书更新后的自动替换能力。 按次计费 托管证书服务单价 × 购买数量 第三方证书部署服务 上传证书一键部署到云产品的服务，将证书部署到一个云产品资源，需要消耗一次部署服务。 按次计费 部署服务单价 × 购买数量 域名监控服务 开启域名监控后，可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 按次计费 域名监控服务单价 × 购买数量

本文汇总了密钥管理产品管理类常见问题。 是否可以导出用户主密钥？ 不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。 创建密钥时，若您选择密钥材料来源于天翼云，则KMS系统会自动为用户主密钥生成密钥材料，且密钥材料无法单独删除、不可导出，仅支持随用户主密钥一并删除； 创建密钥时，若您选择密钥材料来源于外部，则支持手动删除密钥材料。 哪些云服务支持密钥管理系统加密数据？ KMS服务无缝对接云硬盘、对象存储和弹性文件、数据库产品，提供服务端加密能力。您只需要在创建云硬盘时，勾选“加密”功能，则可一键开启硬盘加密功能，加密过程透明无感知。 产品底层通过信封加密的方式，实现云产品中数据的加密。 用户自建主密钥与默认主密钥有何区别？ 用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。 默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

执行角色 概述 使用云工作流构建应用时，您需要创建执行委托角色并授予相应权限，若不配置委托角色，云工作流默认使用 服务内联委托 角色 。云工作流在执行流程时将以该角色身份代表您访问云服务，例如执行函数、发送消息或调用其他流程。 云工作流基于统一身份认证IAM的委托权限管理机制。授权原理如下：策略定义了访问某项服务的能力，将策略绑定到委托后，该委托便具备访问该服务的权限。第三方只需扮演具备所需权限的角色即可访问服务，无需长期密钥，从而提升系统安全性。 操作步骤 创建委托角色 1. 使用 IAM管理员 登录IAM控制台。 2. 在左侧导航栏，选择 委托。 3. 在委托列表页面，单击 创建委托。 4. 在 创建委托 页面，选择 可信实体类型 为 服务委托, 点击下一步。 5. 在配置委托页面， 输入 委托名称 ,选择委托服务选 一类节点函数计算cf。 6. 输入完成后点击 完成,即可创建完成。 配置委托权限 1. 使用IAM管理员登录IAM控制台。 2. 在左侧导航栏，选择 委托。 3. 在委托列表页，选择需要授权的委托，点击旁边的 授权 按钮。 4. 在 选择策略 页面, 搜索/选择你需要的云服务策略, 本例子授权 对象存储 的 只读 权限 。 如果需要更精细的权限控制，可以先创建自定义策略，详情请查阅创建自定义策略 5. 授权范围将默认勾选全局范围，您可以直接点击“确定”完成授权。 6. 创建完成委托角色后， 即可在 工作流设置 中下拉选择设置。工作流设置详见工作流执行器关于 工作流配置 说明。

字段名称 是否必选 类型 描述 time 是 Date 事件发生时间。 以当地标准时间（采用格林威治时间加当地时区形式）进行展示，例如：2016/12/08 11:24:04 GMT+08:00。 在接口中，该字段以时间戳格式进行传输和存储。 该字段为格林威治时间1970年01月01日00时00分00秒（北京时间1970年01月01日08时00分00秒）至现在的总毫秒数。 user 是 Structure 发起操作的云账户信息。 在界面事件列表中，该字段于Operator列呈现。 该字段在API接口中以String类型进行传输和存储。 request 否 Structure 操作的请求内容。 该字段在API接口中以String类型进行传输和存储。 response 否 Structure 操作的响应内容。 该字段在API接口中以String类型进行传输和存储。 servicetype 是 String 操作来源。 resourcetype 是 String 资源类型。 resourcename 否 String 资源名称。 resourceid 否 String 资源的唯一标识。 sourceip 是 String 发起本次操作的用户的IP，若为系统内调用，则为空。 tracename 是 String 操作名称。 tracestatus 是 String 操作事件等级，分为normal（正常）、warning（警告）和incident（事故）。 tracetype 是 String 操作类型，分为如下三种： ConsoleAction表示通过公有云管理控制台执行的操作。 SystemAction表示公有云系统内部触发的操作。 ApiCall表示调用ApiGateway触发的操作。 apiversion 否 String 作为操作来源的云服务的API版本号。 message 否 Structure 备注信息。 recordtime 是 Number 记录操作的时间，表示方式为时间戳。 traceid 是 String 操作的唯一标识。 code 否 Number 事件http返回码例如200,400 requestid 否 String 记录本次请求的request id locationinfo 否 String 记录本次请求出错后，问题定位所需要的辅助信息 endpoint 否 String 该操作涉及云资源的详情页面的endpoint resourceurl 否 String 该操作涉及云资源的详情页面的访问链接（不含endpoint）

已购买的弹性云主机不支持更换地域。 如果您需要在另一个地域使用弹性云主机，有以下两种方案： 1）选择目标地域重新购买实例，建议选择与您的业务需求最接近的区域，以减少网络延迟和数据传输时间。 2）采用主机迁移服务实现实例间的快速迁移，具体操作可以参考 天翼云ECS实例间迁移最佳实践 。

通过公网IP访问Kibana Kibana公网访问配置完成后，将会获得一个kibana公网访问地址，用户可以通过此IP访问集群的Kibana。 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击需要配置Kibana公网访问的集群名称，进入集群基本信息页面。 3.选择“Kibana公网访问”页签，获取kibana公网访问地址。 4.通过该地址，就可以在公网上面访问云搜索服务集群的Kibana。

对于互联网中已经公布和尚未披露的0day漏洞，WAF会及时进行更新并发布在产品控制台，您可登录使用WAF产品进行防护，同时会在概览页最新消息内容中的威胁消息告知漏洞信息： 点击概览页最新消息中的漏洞消息可以进入到消息中心查看漏洞详情： 您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 如何查看防护数据报表 域名开启防护总开关后，您可以在安全分析中的WAF攻击报表中选择一个或者多个域名查看选中的域名匹配域名规则攻击内容。详情见WAF安全报表。 WAF攻击报表可以查询连续不间断的两个月的数据，报表内提供了多种攻击数据分析，包括：威胁分布、攻击趋势、攻击地区等多种数据分析图表，可以直观的查看WAF的防护效果。您可以根据图表内容来制定安全防护策略，维持域名的安全。 您也可以查询具体详细的日志内容，可以在日志管理中WAF攻击日志查看详细的攻击记录，可以根据攻击类型、规则id、防护模式等多项组合进行筛选出攻击日志记录，点击查看详情可以查看当前选择的攻击日志的详细内容。详情见WAF攻击日志。 如果您在攻击日志中发现WAF误拦截了正常业务流量数据，产生误报时，可以先通过WAF攻击日志 中，查看详情中 的添加白名单 对受影响的业务URL进行加白配置，先放行该业务请求。然后联系天翼云安全专家（联系方式见服务保障）沟通具体的解决方案。

VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3

VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3

参数 是否必填 参数类型 说明 示例 下级对象 attachedType 否 String 绑定设备类型 INSTANCE云主机 eip 否 String eip eipId 否 String eipId eipName 否 String eip名称 filterTip 否 Boolean 过滤提示 firewallId 否 String 防火墙ID ipType 否 String IP类型，ipv4;ipv6; page 否 Integer 页码 1 protectStatus 否 Boolean 防护状态 size 否 Integer 条数 1 subnetId 否 String 子网id subnetIds 否 Array of Strings 子网id列表 vpcId 否 String vpc id vpcIp 否 String vpc ip vpcName 否 String vpc名称