示例 移除服务器ID为hblock2的数据目录/home/stor01。 [root@hblockserver CTYUNHBlockPlus3.7.0x64] ./stor server R p /home/stor01 n hblock2 Start removing path /home/stor01.

此小节介绍添加系统资源。 背景说明 云堡垒机系统集中管理云资源，主要包括管理资源账户和运维权限管理。为实现统一管理资源，需添加资源到系统。 一个主机或应用资源可能有多个登录主机或应用的账户。CBH系统纳管主机或应用的账户（资源账户）后，无需反复输入账户和密码，通过登录资源账户，自动登录资源进行运维管控。 系统默认资源账户 Empty ，登录Empty资源账户时需手动输入主机账户和对应密码。 前提条件 主机与CBH网络通畅，才能从云平台导入和自动发现主机资源。 添加应用资源前，需先添加应用发布服务器到CBH系统。 操作步骤 资源的不同添加方式 资源类型 添加方式 主机资源 添加单个主机资源 Excel文件批量导入 按照Excel模板要求配置主机基本信息，可选择配置主机账户信息。 录入主机资源账户后，不再生成Empty资源账户。 从云平台批量导入 选择与CBH网络通畅的云平台，导入云平台主机信息和主机账户信息。 导入主机全部资源账户，且不再生成Empty资源账户。 自动发现 通过IP地址或地址段，自动发现与CBH网络通畅的主机。 自动发现主机只能添加主机信息，需另添加主机资源账户。 应用资源 添加单个应用资源 配置说明 系统内协议类型 @ 主机地址: 端口需唯一，不能重复，即系统纳管的主机资源唯一。 主机资源基本信息说明 参数 说明 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin。 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 主机地址 输入主机与云堡垒机网络通畅的IP地址 ，选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 主机的EIP为独立的公网IP，对外访问的端口受网络安全限制，可能导致从云堡垒机无法跳转登录到主机。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认支持14种系统类型，包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Sugon、Digital China smsg 10600、Digital China smdd 10600、ZTE、ZTE595052tm、Surfilter、ChangAn。 终端速度 Rlogin协议类型主机可选择不同终端速率。 编码 SSH、TELNET协议类型主机可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 SSH、TELNET协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“剪切板”、“X11转发”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。 应用资源基本信息说明 参数 说明 应用名称 自定义的应用发布名称，系统内“应用名称”不能重复。 应用服务器 选择已创建的应用发布服务器。 所属部门 选择应用所属部门。 应用地址 （可选）输入有效IP或域名。 若地址有对应的端口，则地址为URL：端口号。 应用发布为数据库或客户端时，输入数据库服务器的地址。 应用端口 （可选）输入应用访问端口。应用发布为数据库时，输入对应数据库访问的端口。应用发布为除数据库外其他应用时，无需填写。 应用参数 （可选）输入应用相关参数。应用发布为数据库时，输入实例名。 应用发布为除数据库外其他应用时，无需填写。 更多选项 （可选）选择“文件管理”和“剪切板”。 标签 （可选）自定义标签或选择已有标签。 应用描述 （可选）对应用发布的简要描述。

本章节主要介绍翼MapReduce的修改健康检查配置操作。 操作场景 管理员可以启用自动健康检查减少手工操作时间。自动健康检查默认会对整个集群进行检查。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 健康检查 > 配置”。 “定期健康检查”表示是否启用自动执行健康检查，选择“启用”表示启用，默认“不启用”表示不启用。 启用后根据运维需要选择检查周期为：“每天”、“每周”或“每月”。 3. 单击“确定”保存配置。

本文介绍如何进行身份管理。 为确保您的天翼云账号及云资源使用安全，如非必要都应避免直接使用天翼云账号（即主账号）来访问ECI。推荐的做法是使用IAM身份（即IAM用户）来访问ECI。 IAM用户 IAM用户需要由天翼云账号（即主账号）或拥有管理员权限的IAM用户来创建，且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。 对于IAM用户的使用，建议您： 使用天翼云账号创建一个IAM用户，并为IAM用户授予管理员权限，后续使用有管理员权限的IAM用户创建并管理其他IAM用户。 将人员用户和程序用户分离。 创建IAM用户时，支持设置控制台访问和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台，API用户使用访问密钥AK（AccessKey）调用API访问云资源。建议您将两个不同的使用场景分离，避免误操作导致服务受到影响。 按需为IAM用户分配最小权限。 最小权限是指授予用户执行某项任务所需的权限，不授予其他无需用到的权限。最小授权可以避免用户操作权限过大，提高数据安全性，减少因权限滥用导致的安全风险。 不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，否则可能导致AK泄露，威胁您账号下所有资源的安全。 IAM用户相关操作 创建用户 查看用户详情 重置密码

本文为您介绍在弹性云主机上部署Java Web环境的操作流程。 Tomcat是一个被广泛使用的Java Web应用云主机。本文介绍了在天翼云弹性云主机上部署Java Web环境的操作步骤。首先需要下载部署Java Web环境所需的安装包，并将安装包上传至云主机，然后设置弹性云主机安全组规则，再安装并配置相关软件，完成开发环境的配置。 适用对象：本文档适用于使用天翼云弹性云主机部署Java Web环境的用户。 相关软件及工具 软件包名称 获取方式 jdk tomcat 说明 上表中为jdk和tomcat软件包官方获取地址，您还可以参考其他开源镜像地址获取安装包。 工具名称 说明 获取方式 PuTTY 跨平台远程访问工具。用于在软件安装过程中在Windows系统上访问云主机。 WinSCP 跨平台文件传输工具。用于在Windows系统和Linux系统间传输文件。 说明 上表中为PuTTY和WinSCP工具包官方获取地址，您还可以参考其他开源镜像地址获取安装包。 必备事项 1. 创建弹性云主机，且弹性云主机已绑定弹性IP。 2. 登录弹性云主机，执行如下命令，新建jdk目录。 plaintext cd /home/ mkdir webDemo cd webDemo/ mkdir jdk 3. 登录弹性云主机，执行如下命令，新建tomcat目录。 plaintext cd webDemo/ mkdir tomcat 4. 您可以选择将安装包下载至本地后使用文件传输工具将安装包上传至云主机。或者选择使用wget命令直接下载安装包至云主机。 方法一 使用文件传输工具上传安装包至云主机。 使用WinSCP工具上传jdk软件包至云主机jdk文件夹。 使用WinSCP工具上传tomcat软件包至云主机tomcat文件夹。 方法二 使用wget命令直接下载安装包至云主机。 执行如下命令，进入jdk目录。 plaintext cd /home/webDemo/jdk 执行如下命令，下载jdk软件包。 plaintext wget 执行如下命令，进入tomcat目录。 plaintext cd /home/webDemo/tomcat 执行如下命令，下载tomcat软件包。 plaintext wget nocheckcertificate 说明 本文使用的云主机以天翼云CentOS 7.3 64bit操作系统云主机为例。 JDK软件包以jdk17linuxx64bin.tar.gz安装包为例。 Tomcat以apachetomcat8.5.78.tar.gz安装包为例。 如果当前操作步骤中下载链接过期，您可以参考表1查询其他版本jdk和tomca下载地址，或者使用其他开源镜像地址获取安装包。

数据类型 支持的数据 传统型数据库 Oracle、DB2、MySQL、MariaDB、SQLServer（MsSQL）、PostgreSQL、Informix、Sybase、CacheDB、HANA 非关系型数据库 ElasticSearch、MongoDB、ClickHouse 云数据库+大数据组件 ODPS(MaxCompute)、GaussDB、Teradata、Greenplum、Hive、Hbase、CDH、TDH、IMPALA、DRDS、RDS、Vertica、PolarDB、天翼云Mysql、天翼云PostgreSQL、天翼云MSSQL 国产数据库 高斯DBT（GAUSS100）、高斯DBA（GAUSS200）、达梦（DM）、南大通用（GBASE）、人大金仓（KINGBASE）、OceanBase、TiDB、优炫数据库（UXDB） 结构化/非结构化数据 DOCX、DOC、TXT、PDF、CSV、XLSX、XLS 说明 上述数据支持的协议：FTP、SFTP、Local（仅本地上传）

本文为您介绍如何通过云间高速实现高可用的企业混合组网(专线负载模式)。 应用场景 针对专线客户混合组网核心需求，云间高速服务可快速搭建高吞吐云间网络。依托多可用区（AZ）专线部署 + 负载分担机制，不仅实现本地与云上无缝互联，更能均衡分配流量、提升线路并发处理能力，避免单条线路瓶颈。 前提条件 您已在申请两条物理专线，并已经接入到目标天翼云资源池中。 组网拓扑 配置步骤 1. 创建专线网关 分别为专线 1、专线 2 按照云专线流程创建专线网关 假设2条专线的配置如下： 类型 专线网关名称 说明 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 专线1 cdaA 云专线受理单中不填写 VPC 相关内容，保持留空。 10.250.0.1 10.250.0.2 255.255.255.252 100 专线2 cdaB 云专线受理单中不填写 VPC 相关内容，保持留空。 10.250.0.5 10.250.0.6 255.255.255.252 200 具体请参考： 创建物理专线 创建专线网关 注意 云专线的专线网关暂不绑定 VPC，预留至下一步在云间高速的云企业路由器上绑定。

本文介绍在客户端的挂载目录页面卡死的情况下如何进行处理。 故障现象 客户端中文件系统的挂载目录页面卡死，无法执行其它命令。 可能原因 文件系统在未卸载的情况下，进行了退订/删除或解绑VPC操作，导致网络中断。 解决方法 1. 在客户端新开一个窗口。须以root用户登录云主机，参考登录Linux弹性云主机弹性云主机快速入门 天翼云， 1. 如果使用云主机控制台“远程登录”，可以在右上角“发送远程命令”中点击“Ctrl+Alt+F3”新开一个窗口登录。 2. 如果使用Xshell等工具登录，可以在当前会话右键选择“复制SSH渠道”新开一个命令窗口。 2. 执行以下命令强制卸载挂载目录。 plaintext umount f [挂载目录] 如： plaintext umount f /mnt 3. 可尝试多次执行，如果多次执行仍无法卸载掉挂载目录，请尝试重启计算服务。 4. 如果需要重新挂载文件系统，请确认在文件系统中添加上与计算服务相同VPC后，重新执行挂载操作。 参考挂载NFS文件系统到弹性云主机 (Linux)弹性文件服务快速入门挂载文件系统 天翼云。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

针对一站式智算服务平台退订操作,为您进行说明。 服务开通后7天内如未使用则支持退订，退订后即可关闭。 平台开通的实例资源数据退订后保留15天，如15天期间届满仍未续订和续费，云公司有权在前述期间届满时立即释放客户的实例资源，并删除实例数据。 退订地址：我的—费用中心—订单管理—退订管理。 另外，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请退款，款项会原路退回。

本文将为您介绍边缘云WAF提供的人机识别策略，精准命中爬虫流量，拦截各类恶意爬虫，守护网站业务安全。 功能介绍 边缘云WAF提供的人机识别支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地识别并拦截虚假流量，保障网站不受恶意爬虫攻击。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 人机识别功能说明 Cookie基础检测 注意 客户端标识检测：客户端标识检测是人机识别第一检测策略，将先一步校验Cookie挑战、人机挑战以及跳转挑战下发的cookie个数和完整性。无客户端标识、客户端标识缺失、客户端标识解析失败三种情况都需要配置。 无客户端标识。即针对请求没有cookie的情况进行处理 处理动作：拦截/告警/跳转/放行 拦截：拦截请求 告警：仅记录请求 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则 统计粒度：静态cookie/IP+UA/IP 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间） 客户端标识缺失。即针对请求带回cookie个数小于下发的个数（最多会下发四个）进行处理 客户端标识解析失败。即针对失败解析cookie的情况下进行处理 其他字段： 客户端标识过期时间：默认15天,单位天,最大值365天 白名单：即例外条件，符合条件的请求不进行功能检测

本文介绍用户如何自定义数据源。 数据源是获取需要展示的日志/告警字段条件数据，配置后可在报表中选择并通过图表的形式展示。 数据源来源： 用户自定义 内置数据源 包括防火墙事件数据源、Windows审计数据源、Linux审计数据源、天翼云堡垒机审计数据源、网络设备数据源、应用服务器数据源、恶意程序数据源、审计事件数据源、攻击事件数据源。 新增数据源 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 数据源”，进入“数据源”页面。 3. 单击“新增”，并填写新增数据源的相关参数。 参数 参数说明 取值样例 数据源名称 自定义需要创建的数据源名称。 Test 是否抽样统计 确认是否使用抽样统计，默认否。 统计时间间隔 选择该数据源的统计的时间间隔，可选择“分钟”、“小时”或“天”为基础单位。 12小时 数据存放时间 选择数据生成后，在服务中存放的时间，以“天”为基础单位。 7天 数据源描述 自定义数据源的描述内容。 字段类型 选择数据源采集的字段类型，可选“告警类型”或“事件类型”。 告警类型 过滤条件 选择字段条件，多个字段条件通过逻辑关系符关联。 统计字段 选择需要进行统计的字段，可新增多个统计字段，至少新增一个。 分组字段 选择合适的分组字段，已选统计字段不可再次选择，可新增多个分组字段。 4. 填写完成后，单击“确定”，完成数据源新建。 注意 数据源添加完成，每天凌晨3点定时跑任务，获取前一天符合条件的数据。

私网NAT网关 使用私网NAT网关的SNAT和DNAT功能，可以实现云上VPC使用指定私网地址和其他VPC或IDC进行跨VPC私网互访。 公网NAT网关如何和IPV4网关配合规划用户网络 背景信息 VPC创建时，部分资源池默认会创建IPv4网关来统一管理进出VPC的公网流量，所有通过公网IP访问公网的流量都受到IPv4网关的管理。IPv4网关和VPC同生命周期，不允许单独删除IPv4网关。 在VPC中创建NAT网关后，在子网关联的路由表中增加一条目的地址为0.0.0.0/0指向NAT网关的路由规则后（可用区资源池(如华东1，华北2等)需要执行该步骤，以控制台为准），VPC中的云主机可以通过NAT网关的SNAT或DNAT规则访问公网或对外提供服务。 注意 系统类型的路由规则不允许修改、删除；路由目的地址相同时系统类型的路由规则优先级低于客户手动创建的路由规则。 在同一个子网内云主机同时绑定公网IP和SNAT规则时，由于指向NAT网关的路由优先级高于指向IPv4网关的系统路由，默认会通过SNAT访问公网，云主机绑定的EIP无法访问公网。因此，不建议同一个子网内的云主机同时绑定公网IP或者NAT网关。 操作步骤 具体操作步骤参见弹性IP如何通过弹性公网IP或NAT网关访问公网。 如何访问NAT网关 天翼云提供如下方式进行NAT网关的配置和管理： 控制台：天翼云提供Web化的服务管理平台 OpenAPI：天翼云提供基于HTTPS请求的API（Application programming interface）管理方式

是否支持添加端口号不一致的后端主机？ 支持。为弹性负载均衡的添加后端主机时，您可以为每个独立的指定每个后端主机的端口号。不同后端主机之间端口号可以相同也可以不同，也可以根据需要调整后端主机的端口号。修改后端主机的端口号请参考 修改后端主机端口和权重。 弹性负载均衡是否支持添加不同操作系统的云主机？ 支持，弹性负载均衡本身不会限制后端云主机的操作系统，只需确保两台云主机上的应用服务部署相同且数据一致即可。然而，我们建议您选择两台操作系统相同的云主机进行配置，以方便以后的管理和维护。 弹性负载均衡是否支持跨AZ的后端云主机？ 支持。可以同时将同一VPC内的有不同可用区属性的云主机加入同一个后端主机组。可用区资源池类型的资源池有多个可用区，具体可参考 资源池区别。 在可用区资源池为负载均衡配置跨可用区的后端主机，可以实现业务的跨可用区容灾。当一个可用区内的云主机全部发生异常无法提供服务时，如果有其他可用区可正常承载服务的后端主机时，负载均衡可将流量分发至剩余的正常的后端主机保障业务正常。 弹性负载均衡可以只绑定一台云主机上使用吗？ 可以，但是仅一台云主机无法做到负载均衡，建议使用两台以上云主机作为后端主机。通过配置调度算法和后端主机权重，实现业务流量在多台云主机之间均衡负载。 后端主机的权重用于指定负载均衡器在将请求分发给后端主机时所采用的权重比例。通过为每个后端主机设置不同的权重，可以实现对主机资源的分配控制和负载均衡策略的调整。 天翼云负载均衡支持的算法会根据后端主机的权重比例，决定将多少流量分发给每个后端主机，具体如下： 调度算法 权重 算法策略 轮询 调度算法权重算法策略轮询权重取值范围为[1,256] 根据后端主机的权重, 将流量按照顺序逐个分发给后端主机，每台主机依次接收请求，实现流量均衡。相应的权重表示后端主机的处理性能, 常用于短连接服务。 最小连接 权重取值范围为[1,256] 将流量分发给当前连接数最少的主机，以确保负载较小的主机能够处理更多的请求。加权最小连接即根据主机的权重和当前连接数来分发流量，常用于长连接服务。 源算法 在非0的权重下，由于使用了源算法，各个后端主机的权重属性将不再生效 将请求的源IP地址进行Hash运算，得到一个具体的数值，同时对后端主机进行编号，按照运算结果将请求分发到对应编号的主机上。这可以使得对不同源IP的访问进行负载分发,同时使得同一个客户端IP的请求始终被派发至某特定的主机。 通过调整后端服务器的权重，您可以根据服务器的性能、处理能力或其他因素，合理分配请求流量。较高权重的主机将处理更多的请求，而较低权重的主机将处理较少的请求，从而实现负载均衡和资源优化。

本章节主要介绍翼MapReduce服务MapReduce健康检查指标项说明。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查MapReduce服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本文向您介绍 宿主机故障时,弹性云主机是否能自动恢复 宿主机故障时，弹性云主机可以自动恢复。 虽然天翼云提供了多种机制来保障系统的可靠性、容错能力和高可用性，但宿主机仍存在故障的可能性，如电源等部件因不可抗力损坏。 弹性云主机是运行在宿主机上的，当宿主机无法正常运行时，天翼云会自动将弹性云主机迁移至正常的宿主机，以疏散或者热迁移的方式迅速恢复，最坏情况为弹性云主机重启，将宿主机宕机的影响降到最小。

流量趋势模块和流量分析页面展示的流量有什么区别？ 两个模块流量数据的统计方式不同： “总览”页面的“流量趋势”模块基于流量统计数据，数据信息实时更新；展示的内容为入方向流量、出方向流量、VPC间流量信息。 “流量分析”页面基于会话统计数据，在连接期间，数据不会上报，连接结束后才会上报。 入云流量：入云方向的会话。 出云流量：出云方向的会话。 VPC间访问：VPC间的会话。 如何获取攻击者的真实IP地址？ 流量经过反向代理后，源IP被转换为回源IP，此时如果受到外部攻击，CFW无法通过源IP获取到攻击者的真实IP地址，您可通过攻击事件日志中的XForwardedFor字段查询真实IP地址。 查看XForwardedFor 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航树中，选择“日志审计> 日志查询”。进入“攻击事件日志”页面，在对应事件的“操作”列，单击“详情”。 5. 在“详情”中，切换至“攻击payload”页签，获取XForwardedFor字段。 方法一：在“载荷内容”中查看XForwardedFor（从客户端到最后一个代理服务器的所有地址IP）。 方法二：复制“载荷内容”，通过Base64工具，获得解码结果： XForwardedFor：从客户端到最后一个代理服务器的所有地址IP。

步骤2：进行快照备份 自动快照备份 注意 由于快照备份的数据都是存在云硬盘存储库中的，所以进行快照备份需要先开通云硬盘备份的存储库。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，然后单击备份策略页签。 5. 单击快照备份策略右侧的编辑图标。 在备份策略中设置保留天数（1180天）、备份周期、备份开始时间和存储库等。 选择已创建的存储库，打开备份配置开关。 注意 备份配置开关是开启自动快照备份的开关，如果关闭，依然可以进行手动的快照备份。 6. 单击确定。 手动快照备份 注意 由于快照备份的数据都是存在云硬盘存储库中的，所以进行快照备份需要先开通云硬盘备份的存储库。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页面。 5. 单击左上角的创建备份。 6. 配置如下备份参数，然后单击确定。 备份类型 ：选择快照备份。 备份名称：设置备份文件名称。 描述：设置备份操作描述信息。

本文介绍弹性云主机实例创建类相关问题。 支付成功后为什么不能马上看到创建中的弹性云主机？ 支付成功后可能需要少许时间生成订单，待订单完成后即可看到创建中的弹性云主机。若您等待一段时间后仍未在云主机列表中看到云主机，可先在“天翼云官网我的费用中心订单管理我的订单”中查看是否已生成订单。 注意 如果创建后长时间看不到云主机，您可以提交工单或致电客服电话4008109889寻求技术支持。客服人员会帮助您解决问题，确保您的弹性云主机能够顺利开通并投入使用。 如何处理支付订单后云主机开通失败？ 如果您支付订单后云主机开通失败，系统会自动进行撤单，该云主机的订单状态会变为将“撤单中”，撤单完成后订单状态变为“撤单完成”，撤单完成订单费用退还至您的账户。您可在“天翼云官网我的费用中心订单管理我的订单”中查看订单详情及进度。 重启/关机弹性云主机时，长时间处于“正在重启”/“正在关机”状态，怎么办？ 如果对云主机实例执行重启/关机操作后，云主机长时间处于“正在重启”/“正在关机”状态，其可能出现的情况包括： 云主机操作系统内存在无法自动关闭的进程，导致了操作过程无法继续进行。 出现系统层面错误，导致后台操作未能正常执行。 对于这些问题，我们建议您采取以下步骤： 1. 尝试手动重启或关机：您可以尝试通过远程连接到云主机，并手动执行重启或关机命令。这可能会帮助您解决问题，或者至少提供更多关于问题的信息。 2. 查看日志：您可以查看云主机的系统日志，以了解是否有任何与重启或关机操作相关的错误信息。这些信息可以帮助您确定问题的原因。 3. 提交工单：如果以上步骤无法解决问题，您可以提交工单或致电客服电话4008109889寻求技术支持。他们将能够进行更深入的调查，并提供适当的解决方案。

本页为您介绍WPS云文档天翼云版产品退订模式 该产品不支持退订，如遇特殊情况，可联系服务商或者官方客服进行解决。

天翼云为您提供弹性负载服务等级协议。 弹性负载均衡等级协议（SLA）生效。详情请参见这里。

本章节列举了使用云主机备份过程中的概念类问题,以及相对应的解答。 备份和镜像的区别是什么？ 云主机备份和镜像服务有很多功能交融的地方，有时需要搭配一起使用。镜像有时也可用来备份云服务器运行环境，作为备份来使用。 云主机备份和镜像服务区别主要有以下几点： 对比维度 云主机备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云服务器的“装机盘”，它提供了启动云服务器所需的所有信息，其目的是为了创建云服务器，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云服务器/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原服务器/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的服务器/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将服务器的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的服务器，数据盘镜像可以创建新的磁盘，实现业务迁移。 应用场景 数据备份和恢复 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。 云主机备份和镜像服务的联系主要有以下几点： 通过云主机备份可以创建整机镜像。 为云主机创建整机镜像时，需要先对目标云主机进行备份。 使用备份创建镜像时，镜像会对备份进行压缩，所以产生的镜像可能会比备份小。

本文为您介绍查询弹性云主机使用的密钥对的操作。 问题描述 当用户创建了多个密钥对时，可能会混淆登录云主机使用的密钥对，因此需要查询弹性云主机使用的密钥对是哪个。 操作步骤 1. 打开天翼云官网，登录并点击“控制中心”，进入云主机控制台。 2. 选择区域，进入云主机列表页。 图1 区域选择 3. 在云主机列表页中，选择需要查看密钥对的云主机，点击“实例名称”一列，进入云主机详情页即可查看该云主机所使用的密钥对。 图2 云主机详情页

私网NAT网关 使用私网NAT网关的SNAT和DNAT功能，可以实现云上VPC使用指定私网地址和其他VPC或IDC进行跨VPC私网互访。 公网NAT网关如何和IPV4网关配合规划用户网络 背景信息 VPC创建时，部分资源池默认会创建IPv4网关来统一管理进出VPC的公网流量，所有通过公网IP访问公网的流量都受到IPv4网关的管理。IPv4网关和VPC同生命周期，不允许单独删除IPv4网关。 在VPC中创建NAT网关后，在子网关联的路由表中增加一条目的地址为0.0.0.0/0指向NAT网关的路由规则后（可用区资源池(如华东1，华北2等)需要执行该步骤，以控制台为准），VPC中的云主机可以通过NAT网关的SNAT或DNAT规则访问公网或对外提供服务。 注意 系统类型的路由规则不允许修改、删除；路由目的地址相同时系统类型的路由规则优先级低于客户手动创建的路由规则。 在同一个子网内云主机同时绑定公网IP和SNAT规则时，由于指向NAT网关的路由优先级高于指向IPv4网关的系统路由，默认会通过SNAT访问公网，云主机绑定的EIP无法访问公网。因此，不建议同一个子网内的云主机同时绑定公网IP或者NAT网关。 操作步骤 具体操作步骤参见弹性IP如何通过弹性公网IP或NAT网关访问公网。 如何访问NAT网关 天翼云提供如下方式进行NAT网关的配置和管理： 控制台：天翼云提供Web化的服务管理平台 OpenAPI：天翼云提供基于HTTPS请求的API（Application programming interface）管理方式

DBSS服务是否支持线下部署？ 不支持。数据库安全服务需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。 云服务首页提示DBSS服务预测容量不足如何处理？ DBSS实例磁盘不支持单独扩容，磁盘容量预测无法满足保存至少180天日志的合规要求时，需要进行备份。 此告警为提醒用户实例磁盘使用阈值较高，建议按小时备份。如果已开启了备份，则可忽略该告警。

本章节主要介绍翼MapReduce的导出用户信息操作。 操作场景 管理员可以在FusionInsight Manager导出所有已创建的用户信息。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 单击“导出全部”，可一次性导出所有用户信息。 用户信息包含以下几个字段：用户名、创建时间、描述、用户类型（0表示人机帐号，1表示机机帐号）、主组、用户组列表、绑定的角色列表。 4. 在“保存类型”选择“TXT”或“CSV”。单击“确定”开始导出。

本章节主要介绍翼MapReduce的修改用户信息操作。 操作场景 管理员可以在FusionInsight Manager修改已创建的用户信息，包括修改用户组、主组、角色分配权限和描述。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要修改信息的用户所在行，单击“修改”。 根据实际情况，修改对应参数。 说明 修改用户的用户组，或者修改用户的角色权限，最长可能需要3分钟时间生效。 4. 单击“确定”完成修改操作。

介绍云服务器列表看不到购买服务器的解决方案。 云服务器列表仅显示以下主机的防护状态： 在所选区域购买的云主机 已接入所选区域的其他云主机 解决方法：若未找到您的主机，请切换到正确的区域后再进行查找。

本文为您介绍如何将网站域名接入Web应用防火墙（原生版）实例。 使用CNAME接入方式接入云WAF前，先要添加需要防护的域名。本文介绍如何将要防护的域名添加到云WAF。 前提条件 已购买WAF云SaaS型实例，且当前实例支持接入的域名数量未超过限制。 您必须先为域名完成ICP备案，才可以将网站接入WAF进行防护。如何备案请参见新增备案。 说明 根据《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入防护对象信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 防护对象 填写网站域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名（如CNAME）格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的公网IP地址。需要为公网可达的IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 合规认证 选择是否开启PCI DSS和PCI 3DS合规认证。 PCI DSS合规认证说明如下：开启PCI DSS合规认证后，您将不能修改 TLS 最低版本和加密套件，最低 TLS 版本将设置为“TLS v1.2及以上”，加密套件设置为指定范围。如果您需要修改 TLS 最低版本和加密套件，请关闭该认证。 PCI 3DS合规认证说明如下：开启 PCI 3DS 合规认证后，您将不能修改 TLS 最低版本，且最低 TLS 版本将设置为“TLS v1.2及以上”，并且您将不能关闭该认证，请根据业务实际需求进行操作。开启该认证后，该域名将不支持添加 HTTP 协议的协议端口接入。 说明 当“服务器配置协议端口”配置仅为“HTTPS”时，才支持配置 PCI DSS/3DS 合规。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 IPv6 WAF默认只处理IPv4请求流量。如果需要支持IPv6请求，请开启该功能。 ：开启IPv6功能，支持将IPv6请求流量接入WAF进行防护。 注意 功能开启并完成域名接入后无法修改，如需关闭IPv6请求防护，需要重新接入域名。 ：不开启IPv6功能，仅防护IPv4请求流量。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置源IP获取方式。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 自定义响应Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 说明 标准版最多支持1000个回源长连接，企业版、旗舰版最多支持6000个回源长连接。 功能关闭后，将不支持WebSocket。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 6. 本地验证。 根据页面提示，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。更多信息，请参见本地验证。 7. 修改DNS解析。 根据页面提示修改域名的DNS解析，将网站域名解析到WAF进行防护，完成后单击“下一步”。更多信息，请参见修改域名DNS。 8. 添加完成。 根据页面提示设置放行WAF回源IP段，完成后单击“完成，返回防护对象列表”，返回域名接入页面。更多信息，请参见放行WAF回源IP段。 9. 域名添加完成后，该域名WAF防护开关默认开启。

SSL VPN是否支持HTTP2.0？ 目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。 使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？ SSL VPN： 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。 传输上支持更为安全的国家商用密码算法（硬件加密卡）。 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。 HTTPS+认证： 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。 VPN设备本身的安全性： 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。 SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

本文介绍云容器引擎的使用流程。 完整的容器服务使用流程包括以下步骤： 使用流程 说明 环境设置 创建集群前，您需要进行必要的环境设置。 说明： 如果用户已有“虚拟私有云”和“安全组”“子网”，可直接使用，不需额外创建。 . 创建虚拟私有云，提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化用户的网络部署； . 创建子网，在虚拟私有云下创建子网，用于集群部署； . 配置安全组，确保集群创建过程中使用的端口开放。 创建集群 CCE支持创建Kubernetes集群(即虚拟机集群)，后续还将提供裸机集群。 选择部署方式 CCE支持两类部署方式，用户可基于自身需求选择。 . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 上传并选择私有镜像：您可基于业务需求制作私有docker镜像，上传到CCE。基于该私有镜像创建容器应用。 创建容器应用 CCE支持无状态及有状态容器应用。 . 无状态应用：在运行中始终不保存任何数据或状态，例如nginx； . 有状态应用：在运行中需要基于数据或状态运行，例如redis。 应用运维 CCE支持容器应用监控、日志，提供全生命周期管理能力。