本文帮助您快速熟悉如何为云主机添加/删除网卡。 添加网卡 当您的弹性云主机需要多个网卡时，可为弹性云主机添加网卡。 前提条件 用户在开关机状态下均可添加/删除网卡。 主网卡不支持删除，扩展网卡支持删除。 操作步骤 1. 进入弹性云主机详情页面，点击“添加网卡”。 2. 在弹窗中配置安全组和扩展网卡信息。 3. 点击确定，完成添加网卡。 删除网卡 弹性云主机可以绑定多张弹性网卡，其中包括一个主网卡，且主网卡不可删除。当您的弹性云主机需要删除主网卡以外的其他网卡时，可以参考下面步骤。 1. 进入弹性云主机详情页面，选择要删除的网卡，点击“删除网卡”。 说明 对于该弹性云主机的主网卡（默认为网卡列表中显示的第一个网卡），用户不能执行删除操作。 2. 在弹出的对话框中单击“确定”，删除网卡。 修改内网IP地址 前提条件 云主机处于关机状态； 只有主网卡支持修改内网IP，必须先删除辅助网卡； 如果网卡绑定了虚拟IP或者DNAT规则，需要先解绑； 如果网卡上有IPv6地址，无法修改（包括IPv4和IPv6）内网IP地址； 如需修改弹性负载均衡后端服务器的内网IP地址，请先移出后端服务器组后再修改内网IP； 如果云主机作为静态路由的下一跳，必须先删除静态路由再修改内网IP。

本章节介绍绑定防护配额。 将购买的防护配额与服务器绑定，绑定后目标服务器将开启配额版本所支持能力的安全防护。 前提条件 主机已安装agent。 购买的防护配额的“配额状态”为“正常”，“使用状态”为“空闲”。 一个配额只绑定一个主机，且只能绑定agent在线的主机。 绑定主机配额 1、登录管理控制台。 2、在页面左上角单选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧选择“资产管理 > 主机管理”页面，选择“防护配额”页签，进入防护配额列表页面，点击目标选项可进行筛选查看。 5、在防护配额列表页面，单击目标配额“操作”列“绑定主机”。 为主机绑定网页防篡改防护配额，需要在“主动防御 > 网页防篡改 > 防护配置”页面的“操作”列中，单击“开启防护”，HSS自动为主机开启网页防篡改防护。 6、在弹出的绑定主机窗口中，选择一个待绑定的主机。 7、单击“确定”，完成主机的绑定，HSS自动为主机开启防护。

$%&+{}[]:;’<>,.?/中的特殊符号) 不能以斜线号(/)开头 不能包含3个及以上连续字符，如abc、123 9. 确认配置，并在页面下方核对“购买数量”、“购买时长”，按业务需求选择是否“自动续订”，选择“企业项目”。 参数 说明 购买时长 如果计费模式选择了“包年/包月”方式，购买时长最短为1个月，最长为3年。 自动续订 按月购买：自动续订周期为1个月。按年购买：自动续订周期为1年。 购买数量 创建物理机的个数不可以超过库存。为了保证所有资源的合理分配，如果您需要的物理机数量超过当前您可以购买的最大数值，请提交工单申请扩大配额。申请通过后，您可以购买到满足您需要的物理机数量。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 10. 确认勾选“我已阅读并同意相关协议”后，单击“立即购买”。 11. 页面自动跳转到该“订单详情”，在“立即支付”付款成功后，系统将自动为您开通物理机，完成创建。 通过私有镜像创建物理机 操作场景 如果您要创建一台物理机，与现有的某台服务器拥有完全相同的操作系统和应用软件，那么您可以使用该服务器创建私有镜像，并根据这个私有镜像创建物理机。采用此方法可以节省您重复配置物理机的时间，提高交付效率。

参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 区域与默认迁移参数模板设置的区域相同，您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目。 虚拟私有云 选择“迁移时创建”是指在设置目的端时再进行配置。 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 子网 选择“迁移时创建”是指在设置目的端时再进行配置。子网网段与虚拟私有云网段相同。 安全组 选择“迁移时创建”是指在设置目的端时再进行配置。 Windows系统开放8899端口、8900端口和22端口。 Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 可用区 默认随机分配，也可手动选择。 数据盘 包括普通IO、高IO、超高IO可选。

数据库安全服务可以保护哪些数据库？ 数据库安全服务可以对相同虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库以及RDS关系型数据库提供保护。在非同一虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库和RDS关系型数据库，由于网络限制的原因不能对其提供保护。 数据库安全服务支持哪些类型的数据库？ 数据库安全服务支持管理控制台上的以下数据库： 云数据库 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 为什么购买实例后不能马上查看创建中的实例？ 购买数据库安全审计时，由于数据库安全审计实例所在的虚拟机创建系统盘和网络配置需要少许时间，所以需要在虚拟机配置完成才能查看创建中的实例。 数据库安全服务上传日志是通过公网的带宽还是内网的带宽？ 数据库安全服务上传日志是通过内网的带宽。 数据库安全服务到期后不续费会影响业务吗？ 购买的数据库安全服务到期后，如果未续费，您将不能使用数据库安全服务，不影响您的业务。为了数据库安全和资产安全，建议您续费使用数据库安全服务。 数据库安全服务是否支持数据实时脱敏？ 暂不支持实时脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，来防止数据库用户敏感信息泄露。详情请参见配置隐私数据保护规则。

主机通过公网NAT网关访问外网，请问公网NAT网关的带宽是多少？在哪里设置？ 公网NAT网关的SNAT功能通过绑定弹性公网IP，实现云主机私有IP到公网IP的转换。云主机通过公网NAT网关访问外网时，其带宽大小和您申请弹性公网IP时选择的带宽大小有关。 NAT网关丢包或连接不通该如何处理？ 通过NAT网关上网的服务器出现丢包或连接不通的情况时，可以通过云监控查看NAT网关的SNAT连接数。若SNAT连接数超过NAT网关规格上限，则会导致使用NAT网关的服务器出现丢包或者连接不通的现象。如果超过NAT网关规格上限，可修改NAT网关规格，增大NAT网关规格数。 NAT网关里的网段设置与SNAT规则里的网段有什么关联与区别？ NAT网关里的网段是在创建NAT网关时必须指定NAT网关所在VPC及子网网段。此网段仅用于系统后台使用，并非SNAT使用的网段。 创建SNAT规则且当场景是虚拟私有云时，需要配置对应VPC的子网网段，使该网段中的云主机通过SNAT方式进行访问。 创建SNAT规则且当场景是云专线时，需要配置云专线对应的本地数据中心的某个网段或另一VPC的网段，使该网段中的云主机通过SNAT方式进行访问。

本章节内容主要介绍常见问题中网络安全 文档数据库服务有哪些安全保障措施 文档数据库服务可设置所属虚拟私有云，从而确保实例与其它业务实现网络安全隔离。另外，通过统一身份认证服务，可以实现对文档数据库服务资源的访问权限控制。 为什么在虚拟私有云中使用文档数据库 虚拟私有云允许您在私有、隔离的网络创建虚拟网络环境，从中可以对私有IP地址范围、子网、路由表和网络网关等方面进行控制。借助虚拟私有云，您可以定义虚拟网络拓扑和网络配置，使其非常类似于您在自己的数据中心所操作的传统IP网络。 在下面的情况下您可能想在虚拟私有云中使用文档数据库服务： 您希望运行面向公众的Web应用程序，同时保留公众不可访问的后端服务器。您可以在一个虚拟私有云内同时创建一个文档数据库实例和弹性云主机实例，同时为弹性云主机实例分配公网IP，将Web服务器部署在弹性云主机实例。 如何确保在虚拟私有云中运行的文档数据库的安全 虚拟私有云安全组可用来帮助确保虚拟私有云内文档数据库实例的安全。 此外，通过网络访问控制列表（ACL），可以允许或拒绝进入和退出各个子网的网络流量。内部安全基础设施（包括网络防火墙、入侵检测和防护系统）可以监视通过IPsec虚拟专用网络连接进入或退出虚拟私有云的所有网络流量。

本章介绍初始化容量大于2TB的Windows数据盘(Windows 2012)的方法。 操作场景 本文以物理机的操作系统为“Windows Server 2012 R2 Standard 64bit”、云硬盘容量为3 TB举例，提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。关于磁盘分区形式的更多介绍，请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 前提条件 已登录物理机。 已挂载数据盘至物理机，且该数据盘未初始化。 操作指导 1. 在物理机桌面，单击桌面下方的。弹出“服务器管理器”窗口，如图1所示。 图1 服务器管理器（Windows 2012） 2. 在“服务器管理器”页面右上方选择“工具 > 计算机管理”。弹出“计算机管理”窗口，如图2所示。 图2 计算机管理 3. 选择“存储 > 磁盘管理”。进入磁盘列表页面，如图3所示。 图3 磁盘列表 4. 在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。在磁盘1区域，右键单击菜单列表中的“联机”。如图4所示，当磁盘1由“脱机”状态变为“没有初始化”，表示联机成功。 图4 联机成功（Windows 2012） 5. 在磁盘1区域，右键单击菜单列表中的“初始化磁盘”。弹出“初始化磁盘”窗口，如图5所示。 图5 初始化磁盘（Windows 2012） 6. 在“初始化磁盘”对话框中显示需要初始化的磁盘，对于大于2 TB的磁盘，此处请选择“GPT（GUID分区表）”，单击“确定”。返回“计算机管理”窗口，如图6所示。 图6 计算机管理（Windows 2012） 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 7. 在磁盘1右侧的未分配的区域，右键单击选择选择“新建简单卷”。弹出“新建简单卷向导”窗口，如图7所示。 图7 新建简单卷向导（Windows 2012） 8. 根据界面提示，单击“下一步”。进入“指定卷大小”页面，如图8所示。 图8 指定卷大小（Windows 2012） 9. 指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。进入“分配驱动器号和路径”页面，如图9所示。 图9 分配驱动器号和路径（Windows 2012） 10. 分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。进入“格式化分区”页面，如图10所示。 图10 格式化分区（Windows 2012） 11. 格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。进入“完成新建卷”页面，如图11所示。 图11 完成新建卷（Windows 2012） 说明 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 12. 单击“完成”。需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如图12所示。 图12 初始化磁盘成功（Windows 2012） 13. 新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。若如图13所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图13 文件资源管理器（Windows 2012）

参数 说明 u 用户名，Windows实例默认用户名是Administrator。 p 登录Windows实例的密码。 f 默认全屏，需要用Ctrl+Alt+Enter 组合键进行全屏模式切换。 g 分辨率，中间用星号连接。可省略，省略后默认为全屏显示。例如：1024720 弹性IP地址 需要远程连接的服务器IP地址。需要替换为您的Windows实例的弹性IP地址。

本节主要介绍Windows客户端怎么和HBlock服务端断开连接。 应用场景 Widows客户端需要断开HBlock的卷。 前提条件 Windows客户端已经挂载了HBlock服务。 具体操作 1. 在服务器管理器，对磁盘进行脱机处理。 2. 再从iSCSI发起程序中断开连接，否则可能丢失数据。

项目 描述 请求时间 HBlock系统事件发生时间。 事件名称 系统事件名称。详见 模块 系统事件所属模块： 卷。 系统。 服务器。 数据目录。 故障域（仅集群版支持）。 iSCSI目标。 存储池（仅集群版支持）。 实例ID 系统事件针对的实例ID。 ：表示没有实例。 操作 点击“查看”，可以查看事件的详细信息。

项目 描述 语法 rawheader str ctyun.req.rawheader(norequestline?) 作用 用来获取Nginx 服务器接收到的原始 HTTP 协议头。 入参 norequestline? : bool。norequestline：可选参数。参数为 true 可以去除结果中的请求行。 返回值 rawheaderstr: string。Nginx接收到的原始 HTTP 协议头。

本节介绍了初始化容量大于2TB的Windows数据盘（Windows 2008）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Standard 64bit”、磁盘容量为3 TB举例，提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，单击“开始”。 弹出开始窗口。 2.在“计算机”栏目，右键单击菜单列表中的“管理”。 弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器(Windows 2008) 3.在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。 在磁盘1区域，右键单击菜单列表中的“联机”。 如下图所示，当磁盘1由“脱机”状态变为“没有初始化”，表示联机成功。 图 联机成功(Windows 2008) 4.在磁盘1区域，右键单击菜单列表中的“初始化磁盘”。 弹出“初始化磁盘”窗口，如下图所示。 图 初始化磁盘(Windows 2008) 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，对于大于2 TB的磁盘，此处请选择“GPT（GUID分区表）”，单击“确定”。 返回“服务器管理器”窗口，如下图所示。 图 服务器管理器窗口(Windows 2008) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。 弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2008) 7.根据界面提示，单击“下一步”。 进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2008) 8.指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。 进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2008) 9.分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。 进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2008) 10.格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。 进入“完成新建卷”页面，如下图所示。 图 完成新建卷 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”。 需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2008) 12.新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 若如下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2008)

本文为您介绍创建容灾保护组的操作流程。 操作场景 规划好生产中心和容灾中心的位置后，可以通过云容灾管理控制台指定两个可用区，创建空的保护组，从而可以在该保护组下添加受保护的服务器。 前提条件 已经创建VPC并部署业务。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，如选择华东1。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“创建容灾保护组”，进入创建容灾保护组页面。 5. 在创建容灾保护组页面，根据界面提示，配置保护组基本信息。 参数 说明 :: 类型 可用区容灾到可用区。 生产中心信息 名称 请输入生产中心站点名称。 长度为260字，只能由英文、数字和特殊字符“”组成，且只能以英文开头，以英文或数字结尾。 生产中心信息 区域 选择所需保护的服务器所在区域。 建议就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 生产中心信息 可用区 选择需要保护的服务器所在的可用区，需与容灾中心处于不同的可用区。 生产中心信息 VPC 选择所需保护的VPC，VPC需要提前创建并部署业务。 生产中心信息 子网 选择已选中的生产中心VPC下的子网，VPC中的所有资源都必须部署在子网上。 注意 生产中心和容灾中心在不同VPC时，生产中心和容灾中心子网的网段不能重叠。 容灾中心信息 名称 请输入容灾中心站点名称。 长度为260字，只能由英文、数字和特殊字符“”组成，且只能以英文开头，以英文或数字结尾。 容灾中心信息 可用区 选择要容灾到的可用区，需与生产中心处于不同的可用区。 容灾中心信息 VPC 选择所需容灾到的VPC，VPC需要提前创建。 注意 生产中心和容灾中心在不同VPC时，两端的VPC会建立对等连接。 建立对等连接有如下限制： 对等连接两端的VPC网段可以重叠，但是两端VPC下的所有子网网段都不可以重叠。详情请参见VPC对等连接的使用限制。 容灾中心信息 子网 选择已选中的容灾中心VPC下的子网，VPC中的所有资源都必须部署在子网上。 6. 单击“创建”，完成保护组的创建。

步骤二：创建用户网关 1. 在网络区域选择“VPN连接”，进入VPN连接页面。 2. 在左侧网络控制台，选择“IPsec VPN”，进入用户网关列表页面。 3. 单击“创建用户网关”。具体步骤可参见创建用户网关。 4. 按照提示配置用户网关参数，单击“确定”，创建成功。 步骤三：创建IPsec连接 1. 在网络区域下拉“VPN连接”选择“IPsec VPN”，进入IPsec VPN页面。 2. 单击“IPsec连接”，进入“IPsec连接”页签。 3. 单击“创建IPsec连接”。 4. 按照提示配置参数。具体步骤可参见创建和管理IPsec连接。 5. 配置完成后单击“确认”，完成IPsec连接创建。 步骤四：在本地网关设备中加载VPN配置 VPN网关配置对应的ipsec连接，您可联系公司网工，根据所用防火墙网关完成配置。具体可参见本地网关配置。 步骤五：内网DNS配置使用 1. 在内网DNS创建内网DNS，关联VPCnewDNS。 2. 在目标域名行，单击“管理记录集”添加记录集，添加newdns主机记录。 添加完成，可在“解析记录”列表看到解析记录信息。 3. 进入网络控制台“终端节点”服务，单击“创建终端节点”。 选择服务及所属VPC后单击“下一步”，勾选“我已阅读”后“确认下单”完成DNS终端节点创建。 4. 设置IDC服务器的DNS服务地址为上一步骤创建的终端节点私网地址（本示例该地址为192.168.0.3）。 以linux操作系统的服务器为例，可以通过修改 resolv.conf文件临时修改服务器的DNS服务地址。 echo "nameserver 192.168.0.3" sudo tee /etc/resolv.conf 通过如下命令可以查看resolv.conf的配置情况 cat /etc/resolv.conf 查看结果 5. 使用nslookup命令查看解析结果，成功后即可实现云下访问云上资源。

以下是对教学内容的任务解析： 1、更新系统软件包列表并安装 MySQL 服务器 2、启动Mysql 3、检查Mysql服务是否运行 4、配置 MySQL 的安全性 5、通过mysql指令输入用户名密码以登录Mysql数据库 6、向mysql的testdb库中创建一个employees 7、向mysql的testdb库中employees表插入数据 8、向mysql的testdb库中employees查询数据 9、更新数据 10、删除数据

操作系统类型 适用场景 使用限制 Windows 适合运行Windows下开发的程序，如.NET等。 支持SQL Server等数据库（需要自行安装）。 系统盘要求40 GB及以上、内存1 GB及以上。 Linux 适合运行高性能Web等服务器应用，支持常见的PHP、Python等编程语言。 支持MySQL等数据库（需要自行安装）。 系统盘要求40 GB及以上、内存512 MB及以上。

参数 说明 u 用户名，Windows实例默认用户名是Administrator。 p 登录Windows实例的密码。 f 默认全屏，需要用 Ctrl+Alt+Enter 组合键进行全屏模式切换。 g 分辨率，中间用星号（）连接，可省略，省略后默认为全屏显示。例如： 1024720 弹性公网IP地址 需要远程连接的服务器IP地址。需要替换为您的Windows实例的弹性公网IP地址或 EIP 地址。

本节主要介绍Windows客户端怎么和云存储网关服务端断开连接。 应用场景 Widows客户端需要断开云存储网关的卷。 前提条件 Windows客户端已经挂载了云存储网关服务。 具体操作 1. 在服务器管理器，对磁盘进行脱机处理。 2. 再从iSCSI发起程序中断开连接，否则可能丢失数据。

本节介绍物理服务器是否可以使用漏洞扫描服务。 当您的物理服务器为Linux操作系统，且满足以下版本要求时，如果您的物理服务器可以远程登录，则可以通过添加跳板机的方式使用漏洞扫描服务。 EulerOS：支持的最低系统版本为EulerOS 2.2。 CentOS：支持的最低系统版本为CentOS 6.5。 RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。 Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。 SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。 OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。 Debian：支持的最低系统版本为Debian 8.2.0。 Kylin OS：支持的系统版本为Kylin OS V10 SP1。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 在“添加主机”页面，单击“添加主机”，参数说明如下表所示。 参数说明： 参数名称 参数说明 配置示例 主机名称 用户需要添加的主机名称。 vsstest IP地址 添加主机的公网IP地址。 192.168.2.3 是否使用跳板机 选择“是”。 是 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 5. 新增跳板机。 1. 单击“新增跳板机”。 2. 在弹出的对话框中，设置跳板机参数，如下图所示，相关参数说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成。 7. 在添加的主机所在行的“操作”列，单击“配置授权信息”。 8. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 9. 单击“确定”，完成主机授权。

本节主要介绍使用RedisShake工具离线迁移其他云厂商Redis RedisShake是一款开源的Redis迁移工具，支持Cluster集群的在线迁移与离线迁移（备份文件导入）。当部署在其他云厂商Redis服务上的Cluster集群数据，无法在线迁移时，可以选择离线迁移。 与在线迁移相比，离线迁移适用于源实例与目标实例的网络无法连通的场景，或者源端实例部署在其他云厂商Redis服务中，无法实现在线迁移。 本文以Linux系统环境为例，介绍如何使用RedisShake工具进行Cluster集群数据离线迁移。 前提条件 已创建Redis实例，注意创建的Cluster集群内存规格不能小于源端Cluster集群。 已创建用于运行RedisShake的弹性云主机(ECS)，创建的ECS需要选择与Redis实例相同的VPC、子网和安全组。 迁移步骤 1. 使用Rediscli连接目标端Redis实例，获取目标端Cluster集群的Master节点IP地址与端口。 rediscli h {targetredisaddress} p {targetredisport} a {targetredispassword} cluster nodes − {targetredisaddress}：目标Redis实例的连接地址。 − {targetredisport}：目标Redis实例的连接端口号。 − {targetredispassword}：目标Redis实例的连接密码。 在命令返回的结果中，获取所有master节点的IP端口，如下如所示： 2. 在准备好的ECS上安装迁移工具RedisShake。 a. 登录ECS。 b. 在ECS中执行以下命令下载RedisShake，本文以下载2.0.3版本为例进行说明。您可以根据实际需要选择其他RedisShake版本。 wget c. 执行命令解压RedisShake文件。 tar xvf redisshakev2.0.3.tar.gz 如果源端集群部署在数据中心内网，还需在内网服务器上安装RedisShake，并参考下述步骤进行数据导出，然后将数据文件上传到云主机。 3. 从源端Redis控制台导出RDB文件，如果无法导出RDB文件，请联系源端客服获取。 4. 导入RDB文件。 a. 将导出的RDB文件（含多个）上传到云主机上。云主机与目标端DCS Cluster集群实例的网络连通。 b. 编辑RedisShake工具配置文件redisshake.conf。 vim redisshake.conf 补充目标端所有master节点的连接信息： target.type cluster

AMQProxy是一款开源AMQP代理服务，具备复用AMQP Connection的能力。可以通过该代理服务使原本只能使用短连接的客户端（例如PHP客户端）使用长连接，从而减少网络资源消耗和分布式消息服务RabbitMQ资源消耗。 前提条件 如果您要使用SSL连接AMQProxy和分布式消息服务RabbitMQ，请确保您的客户端服务器已安装OpenSSL。 背景 部分语言的客户端，例如PHP客户端，无法使用长连接，会频繁地开启或关闭Connection，消耗大量的网络资源和分布式消息服务RabbitMQ资源，从而对分布式消息服务RabbitMQ造成巨大压力。 AMQProxy AMQProxy是Cloud AMQP提供的开源AMQP代理服务。客户端可以通过该代理服务与分布式消息服务RabbitMQ保持长连接。当客户端服务器部署AMQProxy后，客户端和分布式消息服务RabbitMQ之间的请求都会先发送到AMQProxy，然后由AMQProxy转发到对方。 AMQProxy处理客户端发起的Connection相关请求的逻辑如下： 如果客户端发送开启Connection的请求，AMQProxy将根据用户名、密码、Vhost查找当前是否有合适的Connection可以复用，如果有就复用该Connection，如果没有就由AMQProxy代替客户端和分布式消息服务RabbitMQ开启Connection。 如果客户端发送关闭Connection的请求，AMQProxy会直接应答OK，但并不会关闭与分布式消息服务RabbitMQ的Connection，当该客户端下次再请求开启Connection时，AMQProxy会直接使用该Connection。 部署AMQProxy （1）下载和安装AMQProxy。 开源项目地址： releases目录下有安装包，下载后可以在本地解压 （2）启动AMQProxy ./amqproxy l LISTENADDRESS p LISTENPORT AMQPURL 参数 描述 LISTENADDRESS AMQProxy IP地址。由于是在客户端服务器部署AMQProxy，因此可以直接使用本机地址127.0.0.1。 LISTENPORT AMQProxy监听端口。客户端请求通过该端口发送到AMQProxy。该端口可以为任何可用的端口，例如5673。 AMQPURL 分布式消息服务RabbitMQ实例的URL。格式为{amqpIamqps}://{endpoint}。 amqp：AMQP协议。不使用SSL连接时使用。 amqps：AMQP/SSL协议。使用SSL连接时使用。 endpoint：分布式消息服务RabbitMQ实例的接入点。可以在分布式消息服务RabbitMQ控制台的实例详情页面查看。 示例命令如下： ./amqproxy l 127.0.0.1 p 5673 amqps://192.168.0.100:5672 返回示例如下： Proxy upstream: 192.168.0.100:5672 TLS Proxy listening on 127.0.0.1:5673 0 clients 0 upstreams 参数 描述 clients 客户端和AMQProxy的Connection数量。 upstreams AMQProxy和分布式消息服务RabbitMQ实例的Connection数量。 （3）在客户端代码中将Host和端口修改为AMQProxy IP地址和监听端口。 factory.setHost("127.0.0.1"); factory.setPort(5673);

操作场景 在受保护的服务器完成反向复制，状态变为“反向实时复制中”后，您可以执行故障恢复，恢复生产中心的云主机。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“反向实时复制中”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞故障恢复”。 7. 在“故障恢复”页面，根据界面提示，配置故障恢复参数。 分为以下两种情形： 情形1：启动反向复制时选择了原机恢复。 参数 说明 :: 恢复云主机名称 请输入恢复后的云主机名称。 长度为2～15 个字符，只能由英文、数字和特殊字符""组成，且只能以英文开头，以英文或数字结尾。 规格 自动获取并展示生产中心云主机规格，不可修改。 IP地址 自动获取并展示生产中心云主机IP地址，不可修改。 生产中心VPC 自动获取并展示生产中心vpc信息，不可修改。 情形2：启动反向复制时未选择原机恢复。 参数 说明 :: 恢复云主机名称 请输入恢复后的云主机名称。 长度为2～15 个字符，只能由英文、数字和特殊字符""组成，且只能以英文开头，以英文或数字结尾。 规格 请选择恢复后的云主机规格。 注意：请根据生产中心实际业务情况选择生产云主机的规格，如果生产云主机规格比容灾中心降配太多，恢复后可能导致业务无法流畅运行。 IP地址 请选择IP地址类型。 两种IP地址类型区别如下： DHCP：动态分配云主机的IP地址。 手动指定：用户可以手动输入指定云主机的IP地址。 生产磁盘类型 请选择磁盘类型。 生产站点VPC 自动获取并展示生产中心vpc信息，不可修改。 8. 单击“启动”，进行故障恢复，此时恢复进度提示“故障恢复中”。 9. 故障恢复完成后，您可以单击云主机的状态栏下的链接，检查数据和应用。 注意 故障恢复时如果发生错误，云主机状态会自动变为“故障恢复出错”，此时可再次点击“故障恢复”进行恢复操作，无需再次进行故障恢复配置。

此小节介绍云堡垒机功能特性。 云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术，加强用户身份认证管理。 引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户帐号密码风险。 对接第三方认证服务或平台，包括AD域、RADIUS、LDAP、Azure AD远程认证，支持远程认证用户身份，防止身份泄露。并支持一键同步AD域服务器用户，复用原有用户部署结构。 账户管理 集中管理系统用户和资源帐号信息，对帐号全生命周期建立可视、可控、可管运维体系。 用户帐号管理 系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。 批量导入 通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。 用户组 用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。 批量管理 支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。 权限控制 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。 系统访问权限 从单个用户帐号属性出发，控制用户登录和访问系统权限。 用户角色 通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。 组织部门 通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。 登录限制 通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。 资源访问权限 按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。 访问控制 通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。 命令拦截 通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。

本节主要介绍SNAT规则管理的方式。 操作场景 NAT网关创建成功后，您需要创建SNAT规则。通过创建SNAT规则，虚拟私有云子网中全部或部分云主机可以通过共享弹性IP访问公网，或云专线/VPN用户侧端该网段下的服务器可以通过共享弹性IP访问公网。 一个子网对应一条SNAT规则，如果VPC中有多个子网需要访问公网，则可以通过创建多个SNAT规则实现共享一个或多个弹性IP资源。 前提条件 NAT网关创建成功。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。 3. 在NAT网关页面，单击需要添加SNAT规则的NAT网关名称。 4. 在SNAT规则页签中，单击“添加SNAT规则”。 5. 根据界面提示，配置添加SNAT规则参数，详情请参见下表。 参数 说明 使用场景 SNAT规则使用的场景。当虚拟私有云中的云主机需要访问公网时，选择虚拟私有云。 当云专线/VPN本地数据中心端的服务器需要访问公网时，选择云专线。 类型 云主机访问公网的方式。当使用场景为虚拟私有云时，需要配置此参数。 当虚拟私有云子网中的全部云主机需要通过SNAT方式访问公网时，选择子网，使该子网中的云主机通过SNAT方式访问公网。 当虚拟私有云子网中的部分云主机需要通过SNAT方式访问公网时，选择自定义，使该网段中的云主机通过SNAT方式访问公网。 子网 选择虚拟私有云中的子网，可实现该子网中的云主机通过SNAT的方式访问公网。 当使用场景为虚拟私有云，类型为子网时，需要配置此参数。 网段 使用场景为虚拟私有云时，通过配置虚拟私有云子网中的某个网段，使该网段中的云主机通过SNAT方式访问公网。 使用场景为云专线时，通过配置专线侧本地数据中心的某个网段，使该网段中的服务器通过SNAT方式访问公网。 弹性IP 用来提供互联网访问的公网IP。这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 描述 SNAT规则信息描述。最大支持255个字符。 6. 配置完成后，单击确定，完成“SNAT规则”创建。 说明 根据您的业务需求，可以为一个NAT网关添加多条SNAT规则。

参数 描述 是否必须 ip 服务器IP。 是 port 管理API的端口。 是 version 版本号。 取值： v1。 v2：目前仅下列接口支持v2，同时兼容v1：批量查询卷、查询指定卷、查询HBlock服务状态。对于这些接口，建议使用v2。 是 prefix 前缀，取值为： system：系统相关接口。 block：块操作相关接口。 是 resourceName 资源名称。 是 name 具体实例的名称或ID。 否 parameter 具体参数。 否

名称 类型 描述 name String 存储池名称。 isBasePool Boolean 是否是基础存储池： true：是基础存储池。 false：不是基础存储池。 status String 存储池状态： Normal：正常。 Deleting：删除中。 faultDomain String 存储池故障域级别： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 totalCapacity Long 存储池总容量，单位是bytes。 usedCapacity Long 存储池已用容量，单位是bytes。

本章介绍筛选未绑定配额的主机的方法。 1. 登录管理控制台。 2. 在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3. 在左侧导航树中，选择“主机管理”，进入主机管理界面。 4. 在“云服务器”页签中，筛选未绑定配额的主机。 5. 查看未绑定配额的主机。

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规则流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

本文介绍了如何正确配置NFS服务的白名单 1.概述 科研助手提供外部挂载NFS持久化存储数据服务的功能，为了您的数据安全，请根据本文步骤正确配置NFS服务白名单，防止他人未授权访问NFS服务。 2.前置要求 1）在NFS服务器中启动NFS服务并允许任意来源访问 2）在科研助手的存储源中成功创建自建NFS存储源 3.配置白名单 当科研助手成功访问您的NFS服务时，科研助手会与您的NFS访问建立访问连接，您可通过查询访问连接的来源IP设置白名单： 1）通过SSH登录NFS服务器 2）在终端中输入以下指令查询NFS服务访问来源IP（NFS默认端口为2049，请根据实际情况修改查询指令）： netstat anp grep 2049 grep ESTABLISHED 右边的IP就是科研助手访问您NFS服务的IP地址。 3）将科研助手IP地址加入到NFS服务的白名单中 通过vi指令编辑/etc/exports 文件: vi /etc/exports 打开后默认【】是所有IP允许访问NFS访问， 按键盘【i】按键进入编辑模式，将【】改为步骤二中的【科研助手IP】： 按键盘【ESC】按键后输入:wq 保存文件。 4）重启NFS服务 service nfs restart 5）测试科研助手的数据集能否正常访问NFS中的文件。

生成并获取应用访问密钥 通过应用列表的操作栏中“访问密钥管理”进入该应用的访问密钥管理列表页，点击“生成密钥”，生成访问密钥并下载至用户本地； 应用授权 如创建应用时“是否需要密钥授权”选择的“是”，则在使用加密机内的密钥或证书时需要对其进行授权。 在“应用管理”列表的操作栏中，单击“应用授权”，选择对应的密钥或证书并单击“授权”按钮对其进行授权。 配置时间戳策略 通过左侧菜单栏进入时间戳策略管理页面，时间戳策略管理包括RFC时间戳策略配置和时间戳OID列表管理功能。 时间戳OID配置 1.选择时间戳OID列表TAB页，单击列表上方的“新增时间戳策略”按钮，进入“新增时间戳策略OID”页面。 2.按照页面要求输入策略OID并选择时间戳证书，点击“确定”可完成时间戳策略OID的创建。 NTP时间源配置 通过左侧菜单栏进入时间戳策略管理页面，进去NTP时间源配置，需要配置主NTP时间服务器地址、主NTP时间端口、协议版本、同步时间间隔等，并单击“保存”按钮，保存配置内容。 主NTP时间服务器地址、主NTP时间端口、协议版本、同步时间间隔为必填项，其他为非必填项。

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规则流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景