弹性IP是基于互联网上的静态IP地址,将弹性IP地址和子网中关联的弹性云主机绑定和解绑,可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。

本章节主要介绍使用GDS从远端服务器导入数据的最佳实践。 教程指引 本教程旨在演示使用GDS（General Data Service）工具将远端服务器上的数据导入DWS中的办法，帮助您学习如何通过GDS进行数据导入的方法。 在本教程中，您将： 生成本教程需要使用的CSV格式的数据源文件。 将数据源文件上传到数据服务器。 创建外表，用于对接GDS和DWS，及将数据服务器上的数据引流到DWS集群中。 启动DWS并创建数据库表后，将数据导入到表中。 根据错误表中的提示诊断加载错误并更正这些错误。 准备ECS作为GDS服务器 创建Linux弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“创建弹性云主机”。创建后，请参见《弹性云主机用户指南》中的“登录Linux弹性云主机”章节进行登录。 说明 l ECS操作系统必须是GDS工具包所支持的操作系统。 l ECS与DWS处于同一区域、同一虚拟私有云和子网。 l ECS安全组规则需放通DWS集群的访问，即安全组入规则： l 协议：TCP l 端口范围：5000 l 源地址：选择“IP地址”，输入DWS 集群地址，例如“192.168.0.10/32”。 l ECS内部如果启用了防火墙，需要保证防火墙打开了GDS服务的监听端口： iptables I INPUT p tcp m tcp dport j ACCEPT

修改伸缩组最小云主机数 接口功能介绍 修改伸缩组最小云主机数 接口约束 无 URI POST /v4/scaling/group/updateinstanceminnum 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必选 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 443 minCount 是 Integer 最小云主机数，取值范围：[0,50] 1 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 groupID Integer 伸缩组ID 82 请求示例 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "groupID": 424, "minCount": 2 }

本文向您介绍天翼云Windows云主机远程连接时出现报错“您的连接已丢失”时的解决方案。 问题描述 远程桌面连接Windows云主机时候报错：“您的远程桌面会话已结束，另一用户已连接到此远程计算机，因此您的连接已丢失。” 解决方法 1. 使用管理控制台VNC方式登录弹性云主机。 2. 点击“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3. 依次选择“计算机配置 > 管理模板>Windows组件 > 远程桌面服务>远程桌面会话主机 > 连接”。 4. 点击“将远程桌面服务用户限制到单独的远程桌面服务会话”，修改配置为“已禁用”，单击“确定”保存，在命令窗口执行 gpupdate /force，更新组策略。 5. 在命令窗口执行 gpupdate /force，更新组策略。

介绍了删除备份的操作步骤,用户可根据此文删除不再使用的备份。 操作场景 用户可以根据实际情况删除不再使用的备份以节省空间和成本。 注意 备份删除后无法找回，请谨慎操作。 前提条件 至少存在一个备份。 备份的状态为“可用”或者“错误”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，进入云硬盘备份页面。 4. 选择“备份副本”页签，查看已有的备份副本。 5. 您可以选择删除单个备份或者批量删除多个备份。 （1）单个删除：单击待删除的备份副本所在行的“操作>删除”。 （2）批量删除：勾选待删除备份副本，单击列表左上角的“删除”，进行批量删除。 6. 弹出删除确认框，用户单击“确定”完成删除命令下发。 注意 若同时下发了多个删除命令，部分备份副本将处于排队等待删除的过程，直至云硬盘备份实际进行删除操作时，与被删除的备份副本相关的其他备份副本才会进入“合并中”状态。

本文为您介绍重启容灾复制的操作流程。 操作场景 根据实时情况（如PRO过高、出现异常等问题），用户可以选择重启复制，重启复制过程包括启动复制、全量复制和实时复制的三个过程。 前提条件 受保护的服务器处于“全量复制停止中”或“实时复制停止中”状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障切换＞重启复制”，进入确认对话框。 7. 在确认对话框，单击“确定”，重启复制。重启复制后，状态依次为“启动复制中”、“全量复制中”、“实时复制中”。

本节介绍了如何修改云数据库TaurusDB实例的内网安全组。 操作场景 云数据库TaurusDB服务支持修改实例的内网安全组。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在“基本信息”页签“网络信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本节介绍了应用服务网格的订购计费类常见问题 应该如何选择资源池？ 一般情况下我们建议选择和您目标用户所在地域最为接近的数据中心，可以进一步提升用户访问速度。 订购应用服务网格有什么限制？ 应用服务网格依赖云容器引擎部署控制面，您在开通之前需先开通云容器引擎。

本文将为您介绍弹性云主机添加网卡后是否会自动启动,如若没有自动启动时的解决办法。 操作场景 目前给云主机添加网卡后，默认是会自动启动。 如果用户发现网卡没有自启动，可以手动启动网卡或者咨询客服。 操作步骤 以Centos7为例，手动启动网卡的命令如下： ifup ens33 ens33为需要启动的网卡名字，根据实际情况进行替换。 或者用户也可以用以下命令重启所有网卡： systemctl restart network

本节介绍了容器镜像服务: 在其他云产品中使用容器镜像部署应用。 场景：在云容器引擎集群中使用容器镜像服务。 1、已创建企业版实例，具体操作：开通企业版实例 2、已推送镜像到企业版实例，具体操作：使用企业版实例推送和拉取镜像 3、容器集群使用镜像创建应用，具体操作：容器集群使用容器镜像服务发布应用

参数 参数类型 说明 示例 下级对象 service String 产品服务 ecs dimension String 产品维度 ecs serviceDesc String 产品服务描述 云主机 dimensionDesc String 产品维度描述 云主机 count Integer 告警次数 10

本文介绍URL鉴权的适用场景和配置方法。 功能介绍 默认情况下在边缘分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云边缘安全加速平台上配置URL鉴权功能。配置URL鉴权后，边缘节点会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 适用场景 1、需要对站点资源限制用户访问，避免资源被恶意下载或者非法盗用。 2、请求的资源都具有一定的时效性，超过时效则不允许访问。 注意事项 1、配置URL鉴权需要客户端跟产品服务配合一起开启。 2、配置鉴权后，用户将携带鉴权参数访问，建议缓存策略修改为忽略鉴权参数进行缓存，否则将增大回源概率。 3、当鉴权规则（含算法、秘钥、鉴权参数等）发生变更时，需要通知安全与加速产品配合更改，否则将导致用户请求异常。 4、如果您的鉴权URL中含有中文或特殊字符，需先进行URL转码（即Encode）后使用。 配置说明 天翼云提供三种鉴权方式供您参考配置，以下为详细的鉴权原理及配置说明。 （一）鉴权方式A 1、原理说明 鉴权方式A访问URL构成： 鉴权字段说明： 字段 描述 DomainName 服务域名。 Filename 实际回源访问的URL，鉴权时Filename需以/开头。不包含？后面的参数。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 鉴权服务器生成鉴权URL的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间总秒数 ，十进制整数。 备注：与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+配置的鉴权URL有效时长。 rand 随机数。0 64位随机字符串，由大小写字母与数字组成，例如：477b3bbcf6711128c7bec。 uid 用户ID，暂未使用，设置成0即可。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(Filenametimestampranduidkey)。 备注1：md5加密元素分隔符默认中划线（），也可自定义。 备注2：这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

本文介绍按需计费规则。 按需计费是一种先使用再付费的计费模式，用户开通服务时不需要进行任何预付款或包周期承诺。 适用场景 在完成日志数据采集后，您即可在云日志服务控制台进行实时查询与分析，日志数据可以长期存储。 适用计费项 按照费用类型，云日志服务的计费项包含日志存储量、日志读写流量，关于每种计费项的计费因子、计费公式等详情信息，请参考计费项说明。 计费项 计费说明 标准价格 免费额度 日志存储量 包括日志（压缩后）的存储量和日志（未压缩）被建立索引所产生的存储量。 0.0004792元/GB/小时 500MB/月 日志读写流量 数据（压缩后）被上传到云日志服务时，按照传输的数据量计算写流量费用。 0.18元/GB 500MB/月 日志索引流量 日志数据开启全文索引、字段索引时产生的流量。 0.35元/GB 500MB/月 付费方式 云服务日志支持按需付费方式。按照各个计费项实际使用量结算费用。先使用，后付费。 计费周期 按小时进行计费，每小时结算一次费用并生成账单，从账户余额中扣除实际消费金额，结算完毕后进入新的计费周期。 欠费影响 系统会在每个计费周期后的一段时间对按需计费资源进行扣费。当您的帐户欠费时，将无法使用云日志服务，日志将停止上报。具体请查看欠费说明。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

云资源视图提供查看和管理云服务资源能力，您可以通过界面总览信息快速查看和管理您的资源。 说明 云资源视图现为试运行阶段，若在使用过程中有任何问题，可通过我的工单反馈给我们，若对云资源视图有其他建议或意见，请通过建议与反馈提交。 区域 概述 快捷导航区域 快捷导航区域通过多种形式，提供各资源控制台的快捷入口，帮助您快速访问服务。 我的资源区域 我的资源区域展示账号下已有资源、资源池及数量，可快捷访问，同时通过查看更多资源，可对全部资源进行检索和管理。 基础信息区域 基础信息区域展示账号、费用、待办、卡券等基础信息，以及公告、活动提醒。 支持与服务区域 支持与服务区域推荐热门产品，同时提供常用服务工具。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b service 是 String 本参数表示产品名称。取值范围：ecs：云主机。evs：云硬盘。...详见“[一键告警：产品列表]”接口返回。 ecs alarmType 是 String 本参数表示告警类型。 取值范围：series：时序指标。event：事件。 根据以上范围取值。 series

弹性IP(EIP)是可以独立申请的公网IP地址,将弹性IP地址和子网中关联的弹性云主机绑定和解绑,可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。

本文主要介绍使用私网NAT网关为VPC内计算实例实现线上线下互通入门指引 操作场景 本文档将以部署VPC内计算实例以指定私网地址接入线下本地数据中心为场景，帮助您学习如何创建和使用私网NAT网关。 用户本地数据中心（IDC）通过云专线接入虚拟私有云（VPC），VPC中的ECS需要转换成IDC指定的私网网段进行通信，详情可见下方的组网图。 图组网图 操作流程 操作步骤 说明 步骤一：创建业务VPC和中转VPC 创建业务VPC（含业务子网）和中转VPC（含中转子网）。 步骤二：配置VPC Peering 创建VPC对等连接将用户IDC（Peering目的VPC）与中转VPC连通。 步骤三：创建私网NAT网关 购买一个私网NAT网关。 步骤四：创建中转IP 创建中转IP，使虚拟私有云内多个云服务器可以共享中转IP。 步骤五：添加SNAT规则 为私网NAT网关添加SNAT规则，通过绑定中转IP可实现VPC内的多个云服务器共享中转IP，访问外部数据中心或其他VPC。 步骤六：添加路由 自定义路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。 步骤七：添加安全组规则 在目的VPC包含的云服务器中添加入方向安全组规则，用于将转发到目的端的流量全部放通。

VPN的带宽限速，是限制的哪个方向的带宽，带宽的单位是什么？ 云上用户购买的VPN网关带宽指的是出云方向的，同时为了避免入云方向不限速带来的流量不对称问题。入云方向的带宽策略调整如下两种情况： 如果所购买的带宽 10Mbit，则入云方向与购买的带宽一致。 按带宽计费度量采用国际统一的带宽单位Mbit，按流量计费的度量单位为GByte。 VPN网关带宽到达限额时有什么影响？ VPN带宽限速限制的出VPC方向的带宽，如果您VPN的带宽超过限额使用时，会出现网络卡顿、部分子网间无法访问、甚至出现VPN连接中断现象（无法收到VPN的探测报文）。 因此在出现VPN带宽已达到上限时，建议您对VPN网关带宽进行扩容。 说明 VPN的带宽最大为1000(Mbit/s)。 修改了VPN带宽大小，为什么测试没有生效？ VPN带宽修改到生效会有一定的延迟，是正常现象。 请在修改带宽5分钟后再进行带宽测试。 说明 修改VPN带宽大小，不会导致用户业务和网络中断。 如何选择购买VPN带宽的大小？ 购买VPN时，选择带宽大小需要考虑以下两个因素： VPN隧道中单位时间的数据传输量（需要冗余一定带宽，防止链路拥塞）。 考虑两端的出口带宽，云上带宽要小于云下出口带宽。

OIDC策略配置 前置条件 1. 部署好身份认证服务（IDP） 2. 在IDP中为云原生网关申请客户端（clientid，client secret等） OIDC策略配置 在 安全认证 > 认证鉴权菜单下，选择创建鉴权，鉴权类型选择OIDC，填写相关参数即可；参数说明如下 参数 说明 clientId 云原生网关作为OIDC客户端的clientid。 clientSecret 云原生网关作为OIDC客户端的client secret。 discovery OIDC配置发现端点，通常以 .wellknown/openidconfiguration 的形式附加在 OpenID Provider 的基础 URL 上。 realm 对于一些IDP实现（如Keycloak），realm代表一个虚拟的边界或环境，每个realm内有自己独立的配置，用于实现逻辑上的隔离。 redirectUri IDP认证成功后重定向的uri。 scope IDP中定义的当前客户端（云原生网关）可以访问的范围，比如openid scope 表示请求用户的基本身份信息，而 profile 和 email 则分别表示请求更详细的用户资料和电子邮件地址。 bearerOnly 打开该选项时，网关只会对请求中的鉴权信息做校验。 sslVerify 网关是否校验IDP的证书信息。 setAccessTokenHeader 是否在转发到后端的请求头部中设置Access Token。 accessTokenInAuthorizationHeader setAccessTokenHeader为true时生效，如果打开则在Authorization头部设置Access Token，否则在XAccessToken头部设置Access Token。 setIdTokenHeader 打开时将在转发给后端的XIDToken头部设置id token。 setUserInfoHeader 打开时将在转发给后端的XUserinfo头部设置user info。 logoutPath 登出路径。 timeout 网关和IDP通信的超时时间。 introspectionEndpoint token校验端点。 introspectionEndpointAuthMethod 请求token校验端点的方法。 publicKey token校验的公钥。 tokenSigningAlgValuesExpected token签名校验算法。

本文介绍网站性能测试的最佳实践。 天翼云通用型S6、计算增强型C6 等新一代云主机上提供超高网络性能，您可通过本实践提供的 netperf 和 DPDK 两种网络性能测试方法，进行云主机高吞吐网络性能测试。 推荐选择 netperf 方法进行测试，netperf 为通常使用的测试方法，可满足大多数测试场景。但当云主机配置较高（pps 超过1000万且带宽大于50Gbps）时，netperf包含云主机机内核协议栈的完整处理路径对网络性能损耗较大，而 DPDK 可屏蔽虚拟机内核协议栈的差异，获取虚拟机网卡的网络性能，此时可选择 DPDK 方法进行测试。 netperf测试 工具介绍 Netperf HP 开发的网络性能测量工具，主要测试 TCP 及 UDP 吞吐量性能。测试结果主要反应系统向其他系统发送数据的速度，以及其他系统接收数据的速度。 SAR 用于监控网络流量，运行示例如下： plaintext sar n DEV 1 02:41:03 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:04 PM eth0 1626689.00 8.00 68308.62 1.65 0.00 0.00 0.0002:41:04 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.0002:41:04 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:05 PM eth0 1599900.00 1.00 67183.30 0.10 0.00 0.00 0.0002:41:05 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 sar n DEV 1：该命令每秒钟报告一次网络设备的性能统计信息

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

本节主要介绍了Windows操作系统云主机安装Tesla驱动的流程。 以下操作以Windows Server 2016 Standard 64bit操作系统，GPU实例安装Tesla驱动为例。 1. 登录云主机。 2. 下载NVIDIA驱动包。 单击NVIDIA驱动（Official Drivers NVIDIA）下载根据实例的类型，选择驱动版本。 图 选择驱动类型（Windows） 3. 根据需求选择驱动版本，本节操作以安装Tesla 425.25为例。 图 选择驱动版本（Windows） 4. 单击需要下载的驱动，进入“TESLA DRIVER FOR WINDOWS”界面，单击“DOWNLOAD”。 5. 单击“Agree & Download”，下载安装包。 图 下载NVIDIA驱动安装包 6. 双击驱动安装驱动，单击“运行”。 图 运行NVIDIA驱动安装程序 7. 选择安装路径，单击“OK”。 图 选择NVIDIA驱动安装路径 8. 根据安装提示完成NVIDIA程序的安装。 图 完成NVIDIA驱动的安装 9. 重启云主机。 10. 检查驱动是否安装成功。 a. 进入“设备管理器”，查看“显示适配器”。 图 显示适配器 b. 打开云主机cmd窗口，执行以下命令： cd C:Program FilesNVIDIA CorporationNVSMI nvidiasmi 如果回显信息中包含了已安装的驱动版本，说明驱动安装成功。 图 查看NVIDIA驱动安装版本

本文介绍了云防火墙（原生版）产品的使用限制。 C100使用限制 扩展包上限 防护互联网边界的流量峰值： 高级版：10Mbps~2000Mbps。 企业版：50Mbps~2000Mbps 防护互联网边界公网IP数： 高级版：20个~1000个。 企业版：50个~1000个。 访问控制规则上限 互联网边界防火墙和VPC边界防火墙分别支持10000条访问控制规则。 规避架构风险 使用限制条款 合规落地措施 违规风险 公网ELB 和后端云主机在不同子网 部署时通过控制台校验：公网ELB 选择 “公共子网”，后端 ECS 选择 “业务子网” 流量可能绕开云防火墙，导致防护失效；单点故障时影响范围扩大 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”，NAT 访问的 ECS 仅部署在 “业务子网”； 2. 通过 VPC 路由表隔离：公共子网无指向 NAT 网关的路由，业务子网无直接指向互联网的路由 出访流量路径混乱，无法通过NAT 网关或云防火墙统一管控与审计 子网专项需求（NAT 子网 28 位、公共子网按需、2 个引流子网 28 位） 1. 子网创建时严格按规格配置，禁止随意扩大 / 缩小网段； 2. 通过子网名称规范化标识（如 “NATGWSubnet10.0.1.0/28”“GWLBEInboundSubnet10.10.0.0/28”） 子网地址耗尽；引流子网规格不匹配导致GWLBE 无法正常接收流量 安全产品单独在一个子网 1. 安全产品（如等保专区）仅部署在 “安全产品子网”； 2. 安全产品子网的安全组仅开放与云防火墙的通信端口，禁止其他子网直接访问 安全产品被业务流量干扰；安全产品自身被攻击风险升高

本文将向您介绍如何配置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版级以上版本，支持配置规则白名单功能 操作步骤 1、登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】 2、识别出现误报的攻击，找到其攻击日志，并查看详情 3、点击添加白名单，将自动跳转至【域名规则】【规则白名单】【新增白名单】页面 4、边缘云WAF将自动识别您需要加白所在域名以及规则ID，您只需要配置白名单的生效范围即可。粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

本文为您介绍如何使用模板创建一个高可用架构的操作场景及操作步骤。 操作场景 本示例以创建一个弹性负载均衡为例，介绍如何使用模板创建一个高可用架构。 不同架构内设云资源不同，本文及供参考。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 模板管理。 4. 在模板管理页面，单击创建模板。 5. 创建高可用架构的.tf模板示例如下，请参考文档创建模板完成模板配置。 java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" //选定资源池 azname "cnhuadong1jsnj1Apublicctcloud" //选定可用区 } variable "instancename" { //定义变量：云主机名称 type string default "tfecsha" description "Name of EC instances to create" } variable "vpcname" { //定义变量：虚拟私有云名称 type string default "tfvpcha" description "Name of vpc to create" } variable "eipname" { //定义变量：弹性IP名称 type string default "tfeipha" description "Name of eip to create" } variable "elbname" { //定义变量：弹性负载均衡名称 type string default "tfelbha" description "Name of elb to create" } variable "instancecount" { //定义变量：创建弹性云主机数量，默认为1个 type number default 1 description "Number of EC instances to create" } variable "password" { //定义变量：云主机密码 type string sensitive true } resource "ctyunvpc" "vpctest" { //定义vpc资源：vpctest name var.vpcname cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } resource "ctyunsubnet" "subnettest" { //定义子网资源：subnettest vpcid ctyunvpc.vpctest.id name "tfvpcha" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8", "8.8.4.4" ] enableipv6 true } resource "ctyuneip" "eiptest" { //定义弹性IP资源：eiptest name var.eipname bandwidth 1 cycletype "ondemand" demandbillingtype "bandwidth" } data "ctyunzones" "test" { } locals { az1 data.ctyunzones.test.zones[0] az2 data.ctyunzones.test.zones[1] } output "az1" { value local.az1 } data "ctyunimages" "imagetest" { //确定云主机镜像 azname local.az1 name "CTyunOS 22.06 64 位" visibility "public" pageno 1 pagesize 10 } data "ctyunecsflavors" "ecsflavortest" { //确定云主机参数 azname local.az1 cpu 2 ram 4 arch "x86" series "C" type "CPUC7" } resource "ctyunecs" "ecstest" { //定义云主机资源：ecstest count var.instancecount instancename "${var.instancename}${count.index + 1}" displayname "${var.instancename}${count.index + 1}" flavorid data.ctyunecsflavors.ecsflavortest.flavors[0].id imageid data.ctyunimages.imagetest.images[0].id isdestroyinstance true systemdisktype "sata" systemdisksize 40 vpcid ctyunvpc.vpctest.id password var.password azname local.az1 cycletype "year" cyclecount 1 subnetid ctyunsubnet.subnettest.id }

本节主要介绍集群概述。 随着应用程序开发向基于容器的方向发展，编排和管理资源的需求变得越来越重要。Kubernetes是一个开源的、功能强大的容器编排系统，用于管理容器化应用和服务，它提供了应用部署、规划、更新、维护的一种机制，让部署容器化的应用更加简单并且高效。 云容器引擎（Cloud Container Engine，以下简称CCE）是一种托管的Kubernetes服务，可进一步简化基于容器的应用程序部署和管理，您可以在CCE中方便的创建Kubernetes集群、部署您的容器化应用，以及方便的管理和维护。 集群优势 传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、所有生存周期将与当前操作系统绑定，这样做并不利于应用的升级更新/回滚等操作，当然也可以通过创建虚拟机的方式来实现某些功能，但是虚拟机非常重，并不利于可移植性。 新的方式是通过部署容器方式实现，每个容器之间互相隔离，每个容器有自己的文件系统，容器之间进程不会相互影响，能区分计算资源。相对于虚拟机，容器能快速部署，由于容器与底层设施、机器文件系统解耦的，所以它能在不同云、不同版本操作系统间进行迁移。 容器占用资源少、部署快，每个应用可以被打包成一个容器镜像，每个应用与容器间成一对一关系也使容器有更大优势，使用容器可以在build或release的阶段，为应用创建容器镜像，因为每个应用不需要与其余的应用堆栈组合，也不依赖于生产环境基础结构，这使得从研发到测试、生产能提供一致环境。类似地，容器比虚拟机轻量、更“透明”，这更便于监控和管理。 集群（Cluster）是容器运行所需云资源的集合，包含了若干云服务器节点（物理服务器或者虚拟机）、负载均衡、虚拟私有云等云资源，您可以在集群中运行您的应用程序。在CCE中，我们可以创建若干集群，每个集群可以创建多个容器，每个容器里面运行一个应用实例，然后通过内置的负载均衡策略，实现对这一组应用实例的管理、发现、访问，而这些细节都不需要运维人员去进行复杂的手工配置和处理。

本文介绍如何配置自定义TLS和加密套件。 前提条件 已开通Web应用防火墙（边缘云版）。 已经完成域名接入。 域名使用的是HTTPS协议且已上传了HTTPS证书。 如何配置自定义TLS 如果您需要自定义TLS协议版本，请提交工单联系天翼云技术支持。

本文为您介绍如何使用使用DNAT暴露公网服务。 NAT网关介绍 弹性容器实例对外提供服务的方式有三种，eip、elb、dnat，您可以按需进行选择使用。 NAT网关（CTNAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，CTVPC）内的计算实例提供网络地址转换（Network Address Translation），分为公网NAT网关和私网NAT网关两种。公网NAT网关使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹性云主机提供互联网服务；私网NAT网关可将源、目的网段地址转换为VPC私网中转IP地址，通过使用中转IP实现VPC内的计算实例与其他VPC、云下IDC的指定地址隔离互访。详细信息查看天翼云官网NAT网关帮助文档。 ECI弹性容器实例接入DNAT最佳实践 1. 创建公网nat网关。 2. 为vpc添加路由表，指定0.0.0.0/0的下一跳地址为刚刚创建的nat网关。 3. 为公网nat网关创建DNAT规则。 1. 控制台创建时，选择手动输入自定义地址。 2. openapi创建时，指定virtualMachineType为2，serverType为VM，详细接口请参考创建dnat规则文档。 4. 访问nat网关绑定的eip+externalPort即可访问对应服务。

本节主要介绍网络及安全问题 数据复制服务有哪些安全保障措施 网络 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 如何处理迁移过程中出现的网络中断 迁移过程中如果出现网络中断，可先观察任务状态，当如下状态的迁移任务出现失败时，可在任务列表上单击“续传”，进行任务续传。 全量迁移 增量迁移 如何通过设置VPC安全组，允许本云VPC访问外部弹性IP 默认情况下，基于安全的考虑，本云VPC与外部网络是隔离的，VPC内是无法访问外部的弹性IP，如其他云数据库的弹性IP、云下数据库的弹性IP等。但数据库迁移场景需要确保本云VPC内的迁移实例或者目标数据库可连通外部的弹性IP，从而实现数据库迁移。 为此，您需要在安全组里设置一个出口规则，出口规则控制的是本云VPC可以访问哪些外部的弹性IP和端口范围，安全组的出入口规则一般需要满足“严进宽出”的要求。 如何处理迁移实例和数据库网络连接异常 数据迁移前请确保完成网络准备和安全规则设置。如果连接异常，请按照本节方法排查网络配置是否正确。 本节将以MySQL到RDS for MySQL的迁移为示例，从三种迁移场景（跨云数据库实时迁移、本地数据库实时迁移、ECS自建数据库实时迁移）进行说明。 跨云数据库实时迁移 1. 网络准备。 源数据库需要开放公网访问。 源数据库的网络设置： 源数据库MySQL实例需要开放外网域名的访问。 具体的操作及注意事项可以参考源数据库所在云提供的相关指导。 目标数据库的网络设置： 目标数据库默认与DRS迁移实例处在同一个VPC内，网络是互通的，不需要进行任何设置。 2. 安全规则准备。 源数据库的安全规则设置： 源数据库MySQL实例需要将目标端DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MySQL实例可以与上述弹性公网IP连通。 在设置网络白名单之前，需要先获取目标端DRS迁移实例的弹性公网IP，具体方法如下：DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法， 在安全允许的情况下 ，可以将源数据库MySQL实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 本地数据库实时迁移 3. 网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库 RDS for MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置 ： 若通过VPN访问，请先开通VPN服务，确保源数据库MySQL和目标端本云云数据库 RDS for MySQL的网络互通。 若通过公网网络访问，本云云数据库 RDS for MySQL实例不需要进行任何设置。 4. 安全规则准备： a. 源数据库的安全规则设置： 若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性公网IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性公网IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 b. 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 ECS自建数据库实时迁移 5. 网络准备： 源数据库所在的region要和目标端本云云数据库 RDS for MySQL实例所在的region保持一致。 源数据库可以与目标端本云云数据库 RDS for MySQL实例在同一个VPC，也可以不在同一个VPC。 当源库和目标库处于同一个VPC时，网络默认是互通的。 当不在同一个VPC的时候，要求源数据库实例和目标端本云云数据库 RDS for MySQL实例所处的子网处于不同网段，此时需要通过建立对等连接实现网络互通。 6. 安全规则准备： 同一VPC场景下，默认网络是连通的，不需要单独设置安全组。 不同VPC场景下，通过建立对等连接就可以实现网络互通，不需要单独设置安全组。 排查iptables设置 以源数据库为本云ECS自建数据库为例，如果在上述的操作后，仍无法连通，此时需要额外排查iptables设置，因为HOSTGUARD服务在DRS发起频繁连接请求失败时，会将请求IP加入黑名单中。 7. 登录弹性云主机。 8. 执行以下命令，排查是否有DENY相关的项目包含DRS实例的IP，一般项目名称为INHIDSMYSQLDDENYDROP 。 iptables list 9. 如果存在，执行以下命令，查询iptables入方向规则列表，获取具体规则编号（linenumbers）。 iptables L INPUT linenumbers 10. 执行以下命令，删除DRS实例的IP相关的入方向规则（注意：必须从后往前删，不然linenumbers会更新，需要重新查询）。 iptables D 规则项目名 具体规则编号 11. 删除相关iptables规则后重新进行测试连接即可。

参数 参数类型 说明 示例 下级对象 service String 云监控服务 ecs serviceName String 云监控服务的名称 云主机 dimensions Array of Objects 云监控维度 dimension

功能 说明 用量分析 支持客户按组织汇总查看会议用量、直播用量、云录制用量、会议纪要用量、实时转写用量等维度的数据。支持按组织、查询时间粒度（5分钟/1小时/1天）、时间这3个条件进行自定义查询，实时感知会议使用情况。 用户分析 支持客户按组织粒度分别查看对应组织的累计会议数、会议总时长、累计直播数、直播总时长、累计云录制数、云录制总时长、累计会议纪要数、会议纪要总时长、累计实时转写数 、实时转写总时长等维度的数据。支持按组织、时间这2个条件进行自定义查询。