事件总线负责接收事件源生产的事件。 事件总线EventBridge的事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号后，点击右上角登录名下方的“账号中心”，进入“统一身份认证”中，下拉找到“概览敏感操作”。 2.找到“操作保护”，点击“立即修改”，选择“开启”按钮。 3.输入正确验证码，点击”确认“，即可开启重点操作保护。

本文为您介绍如何管理防护事件，以及防护事件日志中包含的字段含义。 云WAF将攻击防护的事件详情记录在事件报表中，用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下： 支持查看所选时间范围内的防护事件，查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。 提供防护事件多级查询，筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。 支持将列表数据下载到本地。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 查询防护事件 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 查询防护事件”，进入防护事件页面。 5. 在防护事件列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 防护对象 选择想要查看的防护对象，支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型，也可以根据需要，选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址，默认为全部，也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作，包含：观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 6. 筛选条件设置完成后，点击“查询”，筛选后的结果将在列表中展示，可通过右侧的“事件列表显示设置”按钮对攻击事件的字段进行自定义展示。 说明 CC攻击事件页签分别展示CC攻击事件数 和CC攻击次数，例如：页签显示CC攻击事件（1/3），实际含义为出现总计1次CC攻击事件数，一共有3次CC攻击。 事件显示字段支持自定义设置和重新排序，同时可以控制是否在新标签页中查看攻击事件详情。

主要介绍翼MapReduce服务的产品价格。 普通版集群 通用计算型（服务管理费用） 规格名称 核数 内存 按需计费（元/节点/小时） 包月计费（元/节点/月） ::::: s3.4xlarge.4 16核 64GB 0.624 299 通用计算增强型（服务管理费用） 规格名称 核数 内存 标准资 费（元/节点/小时） 包月计费 （元/节点/月） ::::: c6.2xlarge.4 8核 32GB 0.312 149 c6.4xlarge.4 16核 64GB 0.624 299 c6.8xlarge.4 32核 128GB 0.702 337 c6.16xlarge.4 64核 256GB 0.702 337 c6s.4xlarge.2 16核 32GB 0.624 299 c6s.4xlarge.4 16核 64GB 0.624 299 c6s.8xlarge.4 32核 128GB 0.702 337 c6s.16xlarge.4 64核 256GB 0.702 337 c7n.4xlarge.4 16核 64GB 0.624 299 c7n.6xlarge.4 24核 96GB 0.702 337 c7n.8xlarge.4 32核 128GB 0.702 337 c7n.12xlarge.4 48核 192GB 0.702 337 c7n.16xlarge.4 64核 256GB 0.702 337 c7n.24xlarge.4 96核 384GB 0.702 337

自动导入天翼云上ECS资产 说明 目前仅“一类节点”区域的实例支持自动导入天翼云上ECS资产 。云堡垒机（原生版）支持的区域请参见支持的区域。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3. 选择“导入 > 天翼云ECS实例导入”，勾选需要导入的ECS资产。 4. 根据需求选择导入策略。 说明 跳过：若存在同名资产，则跳过该资产的导入。 覆盖：若存在同名资产，使用新资产覆盖旧资产。 建立副本：若存在同名资产，则为新资产增加后缀后导入（后缀新增为1;2……以此类推）。 5. 单击“导入”，完成天翼云ECS资产导入。 批量导入资产 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3. 选择“导入 > 从本地文件导入”，在弹出的对话框中下载导入模板。 4. 在导入模板文件中填写内容，填写完成后保存。 说明 模板中红色标题为必填项。 多个资产组用英文逗号“,”隔开。 资产类型为Windows服务器或Unix/Linux服务器时只会判断录入黑色标题的端口协议。 资产类型为数据库时只会判断录入蓝色标题的端口协议且协议有填写时对应的服务名必填。 参数 参数说明 取值样例 资产名称 自定义新增的资产名称。 Test 资产类型 填写新增的资产类型：可填Windows服务器 、Unix/Linux服务器 或数据库。 Windows服务器 IP地址 填写纳管资产的IP地址，支持IPv4和IPv6。 0.0.0.0 资产组 填写新增资产所属的资产组。 资产描述 填写资产的描述。 协议 填写协议的端口： 资产类型为Windows服务器 或Unix/Linux服务器 时只会判断录入黑色标题的端口协议。 资产类型为数据库 时只会判断录入蓝色标题的端口协议且协议有填写时对应的服务名必填。 访问信息 填写资产的访问编码，仅支持填写“UTF8”或“GBK”。 GBK 5. 上传已经填写完成后的导入模板，根据需求选择导入策略。 说明 跳过：若存在同名资产，则跳过该资产的导入。 覆盖：若存在同名资产，使用新资产覆盖旧资产。 建立副本：若存在同名资产，则为新资产增加后缀后导入（后缀新增为1;2……以此类推）。 6. 单击“提交”，完成资产导入。

本文主要介绍了在天翼云上如何使用Linux轻量型云主机手工搭建LNMP平台的web环境。 实践场景 LNMP是指一组通常一起使用来运行web网站的软件，是目前按网站的主流架构之一，LNMP包含了Linxu系统下Nginx+MySQL+PHP的服务架构架构，为了帮助用户能够快速搭建起web端服务，本文将介绍如何搭建LNMP平台。 准备工作 需要您在天翼云官网创建一台轻量型云主机，创建时的操作系统选择Linux操作系统。 操作步骤 安装nginx 1. 登录天翼云轻量型云主机控制台，点击“远程登录”， 登录到VNC界面。 2. 下载nginx软件包，执行命令。 wget 说明 用户请根据实际情况补充nginx版本。 3. 安装nginx 软件，依次执行命令。 rpm ivh nginxreleasexxxxx.xx.ngx.noarch.rpm yum y install nginx 4. 设置ngnix开机自行启动，依次执行以下命令。 systemctl start nginx systemctl enable nginx 用户可通过以下命令查看nginx运行状态是否正常。 systemctl status nginx.service 5. 验证ngixn是否安装成功。 通过本地浏览器访问ngixn服务地址（主机弹性IP地址），若显示如下图界面则说明安装成功。 安装MySQL 1. 下载MySQL软件包，于主机命令行依次执行以下命令。 wget i c 说明 用户请根据实际情况补充mysql版本。 2. 安装软件，依次执行以下命令。 yum y install mysql57communityreleasexxxx.noarch.rpm yum y install mysqlcommunityserver nogpgcheck 3. 设置mysql开机自行启动，依次执行以下命令。 systemctl start mysqld systemctl enable mysqld 用户可通过以下命令查看mysql运行状态是否正常。 systemctl status mysqld.service 4. 启动服务后，输入以下命令查询mysql的root初始随机密码。 grep 'temporary password' /var/log/mysqld.log 根据命令行回显信息，可获取到随机密码。如下示例。 [Note] A temporary password is generated for root@localhost: 2YY?3uHUA?Ys 5. 设置新密码，执行以下命令。 mysqlsecureinstallation 根据命令行返回信息，设置新的密码。 Securing the MySQL server deployment. Enter password for user root: 输入初始随机密码 The existing password for the user account root has expired. Please set a new password. New password: 设置新的root用户密码 Reenter new password: 再次输入密码 6. 登录mysql，输入以下命令。 mysql uroot p 7. 根据提示输入密码，完成登录。

步骤二：购买弹性IP 步骤说明 弹性IP主要用来绑定NAT网关的SNAT或DNAT规则，以实现访问公网的功能。此处我们需要2个弹性公网IP，分别绑定SNAT规则和DNAT规则。 操作步骤 1. 登录天翼云控制台，选择“网络>弹性IP”。 2. 进入弹性IP控制台，点击右上角“申请弹性IP”。 3. 按需求选择带宽规格，购买数量选择2，单击“下一步”。 4. 确定规格，选择我已阅读并同意相关协议，单击“确认下单”，完成弹性IP创建。 步骤三：购买NAT网关 步骤说明 购买公网NAT网关必须指定公网NAT网关所在VPC。此处指定需要通过NAT网关访问公网的弹性云主机所在的VPC和子网。 操作步骤 1. 登录天翼云控制台，选择“网络>NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，选择规格，点击“下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成NAT网关的创建。 步骤四：配置VPC路由（仅部分资源池需要） 步骤说明 部分资源池在购买NAT网关后，自动加载路由到VPC中，不需要此步操作。 部分资源池需要在默认路由中添加路由指向NAT网关，具体功能以控制台为准。

本章节内容主要介绍购买类常见问题 购买迁移任务的数量限制？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制，如：一个数据库复制服务帐号，您最多可以创建5个任务。 如果受当前资源配额限制，无法满足业务使用需求，您可以申请扩大配额，通过提工单方式。 购买数据库复制是否支持包周期？ 当前还仅具备按配置费、数量传输费两个收费项的按需订购，不迁移时不收费； 后续将根据技术发展，考虑增加包周期的收费方式，敬请期待。 扩大带宽是否会对DRS正在进行的任务产生影响？ 扩大云连接带宽时需要重建带宽链路，则会导致网络断开，此时是否会对DRS任务产生影响取决于网络断开的时间以及源库IP有没有发生变化。 例如针对MySQL引擎而言，如果网络断开1天，而在这1天时间内源库binlog被清理了（MySQL都有binlog清理策略，用户侧自己配置的），就无法进行任务续传，需要重置任务。 如果网络中断的时间很短，并且带宽链路更换完成后源库的VPN内的IP地址没有变，则是可以继续续传任务，不会对DRS任务产生影响。

本章节主要介绍翼MapReduce的恢复租户数据操作。 操作场景 租户默认在Manager和集群组件中保存相关数据，在组件故障恢复或者卸载重新安装的场景下，所有租户的部分配置数据可能状态不正常，管理员需要通过FusionInsight Manager手动恢复配置数据。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击某个租户节点。 3. 检查租户数据状态。 在“概述”，查看“租户资源状态”，绿色表示租户可用，灰色表示租户不可用。 单击“资源”，查看“Yarn”或者“HDFS存储”左侧的圆圈，绿色表示资源可用，灰色表示资源不可用。 单击“服务关联”，查看关联的服务表格的“状态”列，“良好”表示组件可正常为关联的租户提供服务，“故障”表示组件无法为租户提供服务。 任意一个检查结果不正常，需要恢复租户数据，请执行步骤4。 4. 单击，在弹出的确认窗中输入当前登录的用户密码确认身份，单击“确定”。 5. 在“恢复租户资源数据”窗口，选择一个或多个需要恢复数据的组件，单击“确定”，等待系统自动恢复租户数据。

本章节主要介绍翼MapReduce的恢复租户数据操作。 操作场景 租户默认在Manager和集群组件中保存相关数据，在组件故障恢复或者卸载重新安装的场景下，所有租户的部分配置数据可能状态不正常，管理员需要通过FusionInsight Manager手动恢复配置数据。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击某个租户节点。 3. 检查租户数据状态。 在“概述”，查看“租户资源状态”，绿色表示租户可用，灰色表示租户不可用。 单击“资源”，查看“Yarn”和“HDFS存储”左侧的圆圈，绿色表示资源可用，灰色表示资源不可用。 单击“服务关联”，查看关联的服务表格的“状态”列，“良好”表示组件可正常为关联的租户提供服务，“故障”表示组件无法为租户提供服务。 任意一个检查结果不正常，需要恢复租户数据，请执行步骤4。 4. 单击，在弹出的确认窗中输入当前登录的用户密码确认身份，单击“确定”。 5. 在“恢复租户资源数据”窗口，选择一个或多个需要恢复数据的组件，单击“确定”，等待系统自动恢复租户数据。

本文主要介绍如何查看和管理登录客户端的终端设备。 功能介绍 终端设备管理功能，支持记录和收集企业员工登录客户端的设备信息和登录状态等信息，帮助企业对员工的终端设备进行管理和查看。 操作步骤 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理、AOne学术加速工作台进行操作。 3. 在左侧导航栏选择终端终端资产终端设备列表。 4. 点击可查看终端设备整体状态，可点击具体设备详情查看单设备信息。 设备列表 注意 零信任服务、终端管理、学术加速根据自身产品服务能力会进行相关功能裁剪，如终端管理无内网在线，下文主要介绍整体服务情况。 概览统计 合规检测：统计当前合规检测存在风险的设备数量，若合规检测能力未开启或设备未检测则为空。 待处理病毒数：病毒扫描检测出的尚未处理的病毒数。 设备平均在线时长：统计昨日设备在线的平均在线时长，在线设备主要是AOne客户端程序启动进行上报设备信息进行统计，设备卸载或退出AOne客户端则无法统计。 在线/设备总量：在线设备为当前AOne程序在线上报的设备情况，设备总量则为累积上报过的设备信息。 内网在线设备：统计当前内网在线的设备（存在10分钟数据延迟）。 终端信息采集：支持开启硬件信息采集，比如CPU、内存、磁盘空间等。

本文主要介绍企业终端设备的漏洞修复情况。 背景说明 漏洞支持平台周期扫描、平台单次扫描及终端单次扫描，扫描出来的漏洞情况支持上报和展示。 功能说明 企业管理员通过控制台的漏洞修复页面，帮助他们有效监控和管理终端设备的漏洞修复情况，确保企业网络安全。 注意 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务 操作步骤 1.登录边缘安全加速控制台，选择【终端管理】。 2.在左侧导航栏点击【终端安全】下的【漏洞修复】二级导航栏。 周期扫描 1.周期扫描卡片中点击“扫描策略”进行配置，任务根据右侧开关生效扫描任务。 2.以下是周期扫描的字段说明。 字段值 备注 扫描计划 默认选中星期一至星期日，默认填入的开始时间为20：30。 自动修复 自动修复勾选的漏洞类型，部分漏洞重启后生效。 仅上报，不修复 不会自动修复漏洞。 漏洞类型 选项：紧急漏洞、高中低危漏洞、其他漏洞共5个。 "需重启漏洞"修复完成后的动作 仅当自动修复的漏洞列表包含“重启后生效”属性的漏洞时，才会执行设定的动作，否则不会执行任何动作。 防护对象 管控或排除指定的用户/设备。

本文为您介绍安全使用IAM的建议。 为了帮助您安全地控制对天翼云云资源的访问，请您遵循安全使用IAM的建议。 不给天翼云帐号创建访问密钥 天翼云帐号是您天翼云云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥（AK/SK）都是帐号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高帐号安全性，建议您仅使用密码登录控制台即可，不要给帐号创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。 不将访问密钥嵌入到代码中 当您使用API、CLI、SDK等开发工具来访问云服务时，请勿直接将访问密钥嵌入到代码中，减少访问密钥被泄露的风险。 创建单独的IAM用户 如果有任何人需要访问您天翼云帐号中的资源，请不要将帐号的密码共享给他们，而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限，同时，作为天翼云帐号主体，建议您不使用帐号访问天翼云，而是为自己创建一个IAM用户，并授予该用户管理权限，以使用该IAM用户代替帐号进行日常管理工作，保护帐号的安全。

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

本文介绍弹性IP适用的应用场景。 公网出口 场景说明 个人或企业的云上业务需要面向公网提供服务，例如门户网站、视频直播、游戏等，需要保证业务稳定可靠提供公网能力。 产品优势 天翼云弹性IP即开即用，分钟级交付，快速帮助业务实现公网访问； 提供按需计费和包周期计费等多种计费模式，既兼顾成本，又能提供可靠性能； 通过绑定负载均衡方式将公网业务分摊到多台云主机，提升业务处理能力； 搭配使用 NAT网关、弹性负载均衡、弹性云主机 公网出口带宽高效管理 场景说明 个人或企业的云上业务进行公网访问时，需要具备公网带宽管控能力以及较高的公网带宽使用效率。 产品优势 多个弹性IP可以加入共享带宽，降低带宽使用成本，提高运营效率。结合可视化运维，提升公网带宽管控能力。 搭配使用 共享带宽、弹性云主机、弹性负载均衡 公网出口高可用 场景说明 同城双中心或两地三中心，业务和网络需要具备主备或多活的能力。 产品优势 弹性IP支持跨可用区容灾部署，绑定云上资源后，可实现公网出口的主备或多活，帮助客户快速构建高可用网络架构。

前提条件 已创建工作负载，确认容器内服务端口 已创建负载均衡器，可参考：创建负载均衡器 集群组件ccsecloudcontrollermanager（命名空间kubesystem下）版本需大于等于v1.0.4，版本可通过查看组件使用的镜像确认 HTTP/HTTPS请求获取客户端真实源IP地址 负载均衡SVC SVC创建 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“网络”“服务”，点击”创建服务“，进入创建页，进行以下配置： 配置项 说明 类型 选择"负载均衡" 负载均衡 选择已建负载均衡器名称 注解 1、点击“添加注解” 2、注解类型选择“天翼云注解”，注解名称选择“service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor”，值为“true”，点击“添加” 3、注解类型选择“天翼云注解”，注解名称选择“service.beta.kubernetes.io/ctyunloadbalancerprotocolport”，值为“{PORTOCOL}:{PORT}”，点击“添加” 4、如果是https监听，需要添加指定https证书的注解，注解类型选择“天翼云注解”，注册名称选择“service.beta.kubernetes.io/ctyunloadbalancersslcert”,值为https证书的id，点击添加 端口映射 1、填入正确的工作负载容器内端口 2、服务端口填入上一步注解中定义的监听器端口，比如这里配置为88 工作负载绑定 选择需要获取客户端真实ip的工作负载类型、名称 说明 {PROTOCOL}:{PORT}中，PROTOCOL为监听协议，值为http或https；PORT为负载均衡监听器端口，填入一个当前负载均衡器可用端口，比如http:88；https证书的id可从天翼云负载均衡控制台证书列表中获取 配置完成后，点击“提交” 负载均衡SVC创建完成后，到负载均衡控制台，选择指定负载均衡器，查看详情如下： 说明 监听器 监听器会新增一条HTTP88的记录，并已开启“通过XForwardedFor获取客户端IP” 后端主机组 后端主机组新增关联监听器HTTP88的记录

在云主机上搭建网站对外提供Web服务 安全组默认拒绝所有来自外部的请求，如果您在云主机上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、HTTPS(443)。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 入方向 1 允许 IPv4 自定义TCP: 443 IP地址：0.0.0.0/0 注意 端口80、443需要在天翼云备案中心完成备案后，才可放开流量通路。 使用ping命令验证网络连通性 ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某个人PC上使用ping命令来验证云主机的网络连通性，则您需要在云主机所在安全组的入方向添加以下规则，放通ICMP端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 ICMP：全部 IP地址：0.0.0.0/0 入方向 1 允许 IPv6 ICMP：全部 IP地址：::/0 实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sgA内的云服务器访问安全组sgB内的MySQL数据库，您需要通过在安全组sgB中添加一条入方向规则，允许来自安全组sgA内云主机的内网请求进入。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sgA 注意 如果您通过中间网络实例在不同子网的实例之间转发流量，由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

弹性公网IP 弹性公网IP（Elastic IP Address，简称EIP）是可以独立购买的公网IP地址资源，支持绑定到专有网络类型的虚拟机实例、专有网络类型的公网SLB实例、NAT网关和容器实例上。 共享带宽 共享带宽可以实现多个弹性公网IP共用一个带宽实例，弹性公网IP可以加入到共享带宽，实现同一区域下的所有已绑定弹性公网IP的虚拟机、裸金属服务器、弹性负载均衡、NAT网关等实例共享一条带宽资源。 NAT网关 NAT（Network Address Translation，简称NAT）网关能够为虚拟私有云（Virtual Private Cloud，简称VPC）内的计算实例提供网络地址转换服务，实现多个虚拟机使用共享弹性IP访问Internet（Source NAT，简称SNAT）或使多个虚拟机提供互联网服务（Destination NAT，简称DNAT）。 负载均衡 负载均衡（Server Load Balancer，简称SLB）是对多台云服务器进行流量数据按需分发的服务。通过将流量数据分发到不同的云服务器从而提高系统整体的服务吞吐能力，并通过消除单点故障以提高系统整体的可用性。天翼云SLB提供面向4层（TCP/UDP）及面向7层（HTTP）公网负载均衡和私网负载均衡。 内网VIP 内网虚拟IP（Virtual IP Address，简称VIP）是指从VPC子网网段内预占未使用的内网IP作为VIP，内网VIP可绑定到后端多台虚拟机，可以使用内网VIP访问后端绑定的多个主备部署的虚拟机，提高实例对象的内网访问可靠性。

扫描器访问拦截 经过扫描器特征识别之后，安全与加速服务判断请求来自于扫描器，将通过扫描器访问拦截规则对请求进行拦截。 配置规则：基于IP或IP+UA的粒度，对请求命中扫描器类型次数作为命中触发阈值，达到阈值后触发处理动作。支持配置处理动作为拦截或告警。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【扫描器访问拦截】详细设置。 配置说明 配置项 是否必填 说明 防护开关 是 开启状态，规则生效；关闭状态，规则不生效。 规则名称 是 自定义规则名称。 规则描述 否 对规则内容进行描述说明。 扫描器类型 是 选择需要识别的扫描器类型，支持选择多个。 统计粒度 是 选择请求次数统计粒度。 选择IP表示当某个IP的请求次数达到触发条件，则执行处理动作。 选择IP+UA则表示某个IP下某种UA的请求次数达到触发条件，则执行处理动作。 触发条件 是 设置在一定时间周期内，请求命中扫描器类型达到的次数，执行处理动作；设置在一定时间周期内，请求命中状态码达到的次数，执行处理动作。 处理动作 是 支持告警、拦截。 处理动作持续时间 是 设置处理动作持续时间。最大设置168小时。 例外 否 支持输入引起误报的扫描器识别规则ID，可提交工单联系后台客服人员配置。

本文介绍HTTP响应头功能及其配置说明。 功能介绍 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。通过配置自定义HTTP响应头，当用户请求加速域名下的资源时，全站加速返回的响应消息会携带您配置的响应头，从而实现特定功能。 常用场景包括： 告知客户端全站加速响应文件的资源类型。例如，添加响应头ContentType: text/html，告知客户端全站加速响应文件的格式是HTML格式。 实现跨域资源访问（详情请见：跨域资源共享）。当用户请求全站加速上某个域名的资源时，可以在全站加速返回的响应消息中配置自定义响应头，以实现跨域访问。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【头部修改】。 5. 在【HTTP响应头】下单击【增加规则】，配置HTTP响应头部值。 6. 单击【保存】，完成配置。 参数名 说明 头部值 需要新增、修改、删除的HTTP响应头的头部值，头部值仅支持大小写字母、数字、下划线、中划线。 取值 需要新增或修改的HTTP响应头取值，不支持中文；若不填则为删除对应响应头。值不为空时，如源站有该响应头，则修改该响应头的值，如源站无该响应头，则增加该响应头及其值。

接口介绍 通过接口获取对应保护组复制网络的流量情况 接口约束 1、云容灾保护组存在 2、网络监控查看小时时间只提供1小时、6小时、1天(24小时)、7天(168小时)、30天(720小时) URI GET /v4/disaster/queryflowdisaster 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 flowHour 是 Integer 网络监控查看小时时间(1、6、24、168、720) 参考请求示例 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 flowValue 是 Integer 数据 参考响应示例 timesTamp 是 Integer 时间戳 参考响应示例 unit 是 String 单位 参考响应示例

本文主要介绍如何查询伸缩活动。 伸缩活动是指在伸缩组内由于伸缩条件满足而触发的云主机实例数量变更的活动，可能是增加或减少几台云主机实例。 以下场景会触发伸缩活动： 系统检测到伸缩策略中配置的条件满足要求。 手工修改伸缩组的最大/最小实例数，导致当前组内实例数超过该最大/最小的限制。 手动添加或移除实例。 下面介绍如何查看伸缩组的伸缩活动： 1. 登录天翼云控制中心，切换到需要查询伸缩活动的节点，选择【弹性伸缩服务】； 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】； 3. 在【伸缩组详情页】，单击在【监控】页签中，展示伸缩活动详情。可以查看实例数量、CPU使用率等监控指标的变化情况。 4. 【活动历史】标签，进入【伸缩活动标签页】，查看伸缩活动详情，该页签展示进行伸缩活动的历史记录，支持查看实例伸缩和ELB迁移这两种伸缩活动的记录。

本文主要介绍了在“我的订单”页面进行查看订单详情的操作步骤。订单详情包含订单号、订单类型、创建时间、支付状态、订单资源和订单金额等信息。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索查看订单，也可通过订单类型、订单状态过滤筛选查看订单。若查看云订单，选中“云订单”页签；若查看网订单，选中“网订单”页签。 3. 在订单页面找到待查看的订单，点击“详情”查看订单详情情况。 当订单状态为“待支付”时，客户可在订单详情页面进行支付或取消订单。 当订单状态为“已完成”时，客户可在订单详情页面查看原订单。

本章为您介绍如何管理加密云硬盘,包括创建加密云硬盘与卸载加密云硬盘。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源池支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

本文介绍同地域跨VPC挂载文件系统。 操作场景 当海量文件服务支持在同地域（资源池）不同的VPC中挂载同一个文件系统。通过为文件系统添加不同的VPC，即可将文件系统挂载至已绑定的VPC中的云主机上，实现跨VPC访问。 说明 单文件系统可添加20个VPC，即文件系统可挂载至来自20个不同VPC的云主机上。 前提条件 至少已有一个海量文件系统。 在同一个地域已创建2个不同的VPC。 在同一个地域已有两台云主机，分别归属于以上2个VPC。 操作步骤 1. 登录天翼云控制中心，在管理控制台左上角选择地域。 2. 选择“存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页。 3. 在列表“操作”处或者点击目标文件系统名称进入详情页，点击“添加VPC”，添加第一台云主机的VPC。 4. 在弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，这里选择第一台云主机的VPC，选择默认权限组。点击“确定”，完成添加。 5. 然后再点击“添加VPC”，相同操作添加第二台虚拟机的VPC。弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，这里选择第二台云主机的VPC，选择默认权限组。点击“确定”，完成添加。 6. 添加完成后，可以在详情页下方VPC页签可看到绑定的VPC，可以点击操作栏下方的“更换权限组”，以更改VPC绑定的权限组。 7. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 8. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机弹性云主机快速入门。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 9. 将文件系统分别挂载至两台云主机，具体操作方法请参考挂载NFS文件系统到弹性云主机(Linux)。 10. 挂载成功后，可以在第一台Linux 云主机上访问文件系统，执行写入操作。您可以把文件系统当作一个普通的目录来访问和使用。依次执行如下命令在两个文件系统中创建文件、文件夹。 plaintext mkdir /mnt/localpath/test1 touch /mnt/localpath/file1 echo ‘1234’ > /mnt/localpath/file2 11. 在第二台云主机执行如下命令读取文件内容。 plaintext cat /mnt/localpath/file2

本节主要介绍通过kubectl操作CCE集群。 操作场景 本文将以CCE集群为例，介绍如何通过kubectl操作CCE集群。 使用kubectl操作集群 背景信息 若您需要从客户端计算机连接到kubernetes集群，请使用kubernetes命令行客户端kubectl。 前提条件 CCE支持“VPC网络内访问”和“互联网访问”两种方式访问集群。 VPC网络内访问：您需要在ECS控制台购买一台云服务器，并确保和当前集群在同个VPC内。 互联网访问：您需要准备一台能连接公网的云服务器。 注意 通过“互联网访问”方式访问集群，集群的kubeapiserver将会暴露到互联网，存在被攻击的风险，建议对kubeapiserver所在节点的EIP配置DDoS高防服务。 下载kubectl 您需要先下载kubectl以及配置文件，拷贝到您的客户端机器，完成配置后，即可以使用访问kubernetes集群。 请到kubernetes版本发布页面下载与集群版本对应的或者更新的kubectl。 安装和配置kubectl 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群下的“命令行工具 > kubectl”。 步骤 2 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。 说明 您可以在“kubectl”页签下方便的下载kubectl配置文件（kubeconfig.json），CCE支持帐号和IAM用户分别下载该配置文件，IAM用户下载的配置文件只有30天的有效期，而天翼云帐号下载的配置文件会长期有效。该文件用于对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 由于EIP无法固定，所以服务器端证书无法预置EIP，若从互联网访问则无法开启客户端校验服务器端。如需开启客户端校验服务器端，请使用VPC访问方式。 IAM用户下载的配置文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。

本节介绍了云电脑（公众版）支持在”天翼云电脑“移动客户端进行数据盘扩容。 天翼云电脑（公众版）的数据盘为：16元/100GB/月，0.53元/100GB/日。 （注意：扩容数据盘会根据云电脑的有效时长进行费用的计算） 1. 登录“天翼云电脑”安卓移动客户端； 2. 选择“云电脑”列表查看需要扩容的云电脑； 3. 点击“管理”进入管理页面，选择“扩容“； 4. 选择新增数据盘或对已有数据盘进行扩大容量并提交订单； 5. 确认订单并完成支付，支付成功后扩容即生效。 说明 1、在天翼云电脑（安卓）App、天翼云App、天翼云官网进行订购的云电脑公众版支持在天翼云电脑移动客户端进行产品变更操作管理。 2、在营业厅订购云电脑公众版产品的用户请到营业厅咨询产品变更流程。

本节介绍了插件概述的用户指南。 云容器引擎提供了多种类型的插件，方便用户选择性地安装，满足集群特定的功能需求。类型包括核心组件、应用管理、日志与监控、存储、网络等等。 插件举例： 插件名称 插件类型 插件简介 ccseschedulerplugins 核心组件 自定义调度插件：基于当前集群节点上cpu和内存真实可用的资源进行调度 cubems 应用管理 cubems可以让部署在CCSE Kubernetes集群中的Java应用接入MSE、ARMS。 ccsemonitor 日志与监控 CCSE监控插件，为 CCSE 提供指标的观测能力 ctglogoperator 日志与监控 天翼云自研基于CCSE的一站式日志插件，为CCSE提供的日志采集、存储、检索能力，具有日志数据集中存储，高效压缩，秒级检索等特性。

本文为您介绍如何通过IAM用户控制资源访问。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云主机备份CSBS资源的访问。 操作步骤如下： 第1步：创建IAM子用户 具体操作，请参见统一身份认证IAM创建用户。 第2步：创建自定义策略 天翼云提供了访问云主机备份CSBS资源的系统策略，更多信息，请参见“权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证IAM创建自定义策略。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和授权项（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 脚本配置策略示例：为IAM子用户配置创建云主机备份存储库权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "csbs:memorypool:create", "csbs:backupstrategy:list", "ecs:cloudServers:list" ], "Effect": "Allow" } ] }

本文将为您介绍云专线服务相关的术语概念,例如客户站点、接入点等。 客户站点 客户站点是用户线下需要与云上互通的站点的统称，包括用户数据中心、本地机房、企业总部、企业分支机构等。 接入点 接入点是指用户通过云专线接入天翼云资源池的专线POP。专线POP可以提供多种端口类型，用于物理专线的接入。 物理专线 物理专线是对客户侧站点和云资源池交换机之间的网络链路的抽象。与传统互联网链路相比，物理专线提供用户本地数据中心上云的专属通道，业务传输质量更高，并采用虚拟化技术实现用户业务数据逻辑隔离，更加安全可靠，云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽随选和弹性扩容，帮助企业轻松应对大流量业务传输场景。 用户可申请独享物理专线和共享物理专线。独享物理专线，用户独占一个物理端口资源；共享物理专线，多用户共享一条物理线路，通过三层子接口方式实现多租户数据隔离。 专线网关 专线网关是客户站点和天翼云VPC之间的虚拟路由转发设备。作为数据从客户站点到云上VPC之间的传输桥梁，专线网关一端绑定物理专线，一端与客户站点需要访问的VPC直连。一个VPC可以关联一个专线网关，多条物理专线可以通过一个专线网关访问一个或多个VPC。

如果您需要防护的域名数超过了套餐默认支持数量，可通过购买域名扩展包进行补充。1个域名扩展包1个主域名及该主域名下的9个子域名防护 glmoscodeexplain glmoscodeexplain 怎么判断需要订购的域名扩展包个数？ 例如：套餐版本默认支持1主域名和该主域名下的9个子域名数量（支持泛域名）。您可以接入1个主域名（ctyun.cn）以及该主域名下的9个子域名（www.ctyun.cn、.ctyun.cn、.ctyun.cn、www.等）。如果您还需要接入新的主域名，这时您需要购买1个域名扩展包来补充。 怎么查看您当前的域名数量？ 您可以登陆天翼云官网，在首页右上角点击【控制中心】在控制中心页面点击安全点击【Web应用防火墙（边缘云版）】跳转至Web应用防火墙（边缘云版）用户控制台； 在用户控制台页面点击【计费详情】查看您当前可使用的总主域名数量套餐主域名数量+域名扩展的主域名数量。 如何购买域名扩展包？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 注意 暂时不支持单独退订域名扩展包，如果需要单独退订，请