本小节介绍渗透测试产品定义。 渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞，提前查找自身系统所存在的风险，避免风险给系统造成严重的影响。 渗透测试服务能够对目标网络、主机、数据库与应用系统的安全性做深入的探测，发现系统薄弱环节的过程。能够直观的让管理人员知道当前网络、主机、数据库与应用系统存在的安全弱点以及可能造成的影响，以便采取必要的防范措施。

告警渠道 限额 说明 邮件 每个天翼云账号每天20封邮件通知，超出限额后停止发送 如有需求，请提交工单反馈。 短信 每个天翼云账号每天20条短信通知，超出限额后停止发送 如有需求，请提交工单反馈。

本节主要介绍创建IAM用户并登录 步骤1已完成用户组的创建并完成了授权，本节将描述A公司使用已注册的天翼云帐号，给公司成员创建IAM用户并加入用户组的操作，使得他们拥有独立的用户和密码，可以独立登录天翼云并管理权限范围内的资源。 创建IAM用户 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择步骤1中已创建好的用户组“开发人员组”，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，用户列表中将显示新创建的IAM用户。 参考步骤5至步骤7的方法，创建用户Charlie、Jackson和Emily，并加入对应的用户组。 IAM用户登录 通过前述步骤，A公司已在其天翼云帐号中创建了名为James、Alice、Charlie、Jackson和Emily的IAM用户。完成IAM用户创建后，A公司管理员需要将帐号名、IAM用户名及初始密码告知对应的员工，这些员工就可以使用自己的用户名及密码访问天翼云及各云服务平台。 如果IAM用户登录失败或忘记密码，IAM用户可以联系A公司管理员重置密码。 步骤 1 A公司IAM用户打开天翼云官网。 步骤 2 单击顶部右上角“登录”，在登录页面输入用户名IAM用户名（一般为邮箱地址）、密码，单击“登录”按钮，登录天翼云。

子网可以使用的网段是什么？ 子网的网段要在VPC的网段内部。VPC提供三段私网网段，10.0.0.0/828、172.16.0.0/1228和192.168.0.0/1628，所以子网的网段也会在这些范围内，且子网的掩码范围为：子网所在VPC掩码28。不同子网之间网段不能相同、不能有交集；子网创建成功后，不支持修改网段，请提前合理规划好子网网段。 虚拟私有云和子网的限额是多少？ 默认情况下，单个账号单个资源池最多可创建10个VPC，每个VPC下最多可创建10个子网。不同VPC之间默认隔离，同VPC下的不同子网之间默认互通。请根据您的实际业务合理规划VPC网络，如果配额不能满足需求，可以提交工单申请扩大配额。 一个用户能拥有多少个安全组？ 默认情况下，单个账号单个资源池最多可以创建100个安全组，一个安全组内可以创建500条安全组规则。更多配额情况可参考产品使用限制。 您可以通过合并地址段，相同防护规则的弹性云主机挂载到同一安全组等方式合理规划您的安全组及安全组规则使用情况，避免造成规则的冗余及资源浪费，增加您的维护成本。 虚拟IP的使用限制 每台弹性云主机/物理机最多可以绑定10个虚拟IP，配额支持调整，如果您有其他业务需求，可联系工单申请调整。 虚拟IP绑定的云服务器类型是单一的，当虚拟IP绑定了云主机后不允许绑定物理机，同理，当虚拟IP绑定了物理机后，不允许绑定云主机。请您合理规划虚拟IP的使用情况。 一个虚拟IP仅支持绑定一个弹性IP，且绑定弹性IP前需要确保虚拟IP和弹性云服务之间已建立绑定关系。

什么是配额？ 对用户的资源数量和容量做了限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交您的申请，并告知您申请提高配额的理由。 在通过我们的审理之后，我们会更新您的配额并进行通知。 如何检查终端节点服务所在后端弹性云主机的网络配置？ 步骤如下： 1、确认弹性云主机使用的网卡安全组是否正确。 2、在弹性云主机详情页面查看网卡使用的安全组。 3、查看安全组入方向是否已放行198.19.128.0/20网段的地址，如果没有放行，请添加198.19.128.0/20网段的入方向规则，用户可根据自己的实际业务场景添加入方向规则。 4、确认弹性云主机网卡所在子网的网络ACL不会对流量进行拦截。 5、在虚拟私有云页面左侧如果可以进行网络ACL配置，请确认对等连接涉及的子网已放通。 VPC终端节点和对等连接有什么区别？ 具体请见下表。 类别 VPC对等连接 VPC终端节点 ::: 安全性 VPC内所有ECS、ELB、VIP等均可以被访问。 仅创建了终端节点服务的ECS、ELB可以被访问。 CIDR重叠 不支持。 如果两个VPC之间的子网网段有重叠或者完全相同，那么建立的对等连接将无效，无法相互通信。 支持。 VPC终端节点完全不受两个VPC子网网段重叠或者完全相同的影响，均可以正常通信。 通信方向 建立对等连接的两个VPC之间支持双向通信。 通过VPC终端节点建立连接的两个VPC之间，仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 两个VPC间创建对等连接后，需要在两端VPC内分别添加对等连接路由信息，才能使两个VPC互通。 通过VPC终端节点服务进行连接的两个VPC，服务已为用户配置好相应的路由信息，用户自己无需再配置。

约束 说明 规格 规格限制： 云容灾网关、生产站点服务器和容灾站点服务器的建议最小规格为8U16G； 说明 容灾站点服务器建议预留2G内存用于数据反向重保护 单个容灾网关最多可为20个保护实例提供保护，总计不超过58个磁盘。 服务器 服务器约束： 支持弹性云主机（ECS) 创建保护实例 只支持KVM虚拟化类型的弹性云主机容灾。 支持X86和Arm CPU架构类型的服务器。 不支持以下系列的弹性云主机创建保护实例： 通用计算增强型C7 内存优化型M7 磁盘增强型 超高I/O型 GPU加速型 操作系统满足兼容性要求。 已经创建保护实例的服务器和磁盘直接删除后将导致保护实例失效。 磁盘 不支持共享卷、加密卷； 不支持含有本地盘的服务器； 不支持LVM类型。 网络 往返时延≤100ms。 说明 可以使用ping命令指定包大小为64000字节测试与容灾端obs域名的时延。如执行以下命令进行测试：ping 容灾端obs域名 s 6400 带宽≥业务高峰周期内每分钟的数据变化总量/60秒，最小带宽不小于10Mbit/s。 说明 统计业务负载最大时间段的变化数据总量，根据数据总量和统计时间即可算出业务写磁盘的峰值带宽，为了达到RPO的要求，即峰值带宽为网络带宽的最低要求。对于跨区域复制共用网络场景，需要考虑所有保护实例的峰值带宽，选取业务峰值带宽叠加后的最大带宽为最低网络带宽要求。 注： 1. 业务负载统计以服务器为粒度。 2. 云容灾网关的基准带宽需满足带宽要求，建议基准带宽不小于2Gbit/s 丢包率<0.1%。 功能 功能约束： 对弹性云主机上的所有盘进行保护，不支持对已创建的保护实例进行添加、移除卷或者对保护实例中的卷进行扩容； 不支持多保护实例之间数据一致性。

本文向您介绍如何通过VPN连接云下数据中心与云上VPC。 操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的云主机或者物理设备之间需要进行通信，VPN的状态才会刷新为正常。 前提条件 已创建VPN所需的虚拟私有云和子网。 操作步骤 1. 在管理控制台上，创建VPN网关、用户网关，选择合适的IKE策略和IPsec策略创建VPN连接。 2. 检查本端和对端子网的IP地址池。 3. 为弹性云主机配置安全组规则，允许通过VPN进出本地数据中心的报文。 4. 检查VPC安全组。 5. 检查远端LAN配置（即对端数据中心网络配置）。 假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 从本地数据中心ping云主机，验证安全组是否允许通过VPN进出本地数据中心的报文。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

本节介绍了设置安全组规则的相关内容。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

主机安全v2.0常见问题请参见服务器安全卫士（原生版）常见问题。

本节介绍漏洞扫描服务支持哪些操作系统的主机扫描。 漏洞扫描服务支持扫描的主机操作系统版本如下： 支持的Linux操作系统版本，如下表所示。 分类 支持的OS类型 EulerOS EulerOS 2.2, 2.3, 2.5, 2.8 and 2.9 64bit CentOS CentOS 6.5, 6.8, 6.9, 6.10, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8 and 7.9 64 bit RedHat Red Hat Enterprise Linux 6.10 and 7.5 64bit Ubuntu Ubuntu 16.04, 18.04 and 20.04 server 64bit SUSE SUSE Enterprise 11 SP4 64bit, SUSE Enterprise 12 SP1/SP2/SP3/SP4 64bit, SUSE Enterprise 15 SP1/SP2 64bit OpenSUSE OpenSUSE 13.2 and 42.2 64bit Debian Debian 8.2.0, 8.8.0, 9.0.0, 10.0.0 64bit Kylin OS Kylin OS V10 SP1 64bit 统信UOS V20 Huawei Cloud EulerOS HCE 2.0 支持的Windows操作系统版本，如下表所示。 分类 支持的Windows系统版本 Windows Server Windows Server 2012 R2，Windows Server 2016

本章节主要介绍 ALM27001 DBService服务不可用的告警。 告警解释 告警模块按30秒周期检测DBService服务状态。当DBService服务不可用时产生该告警。 DBService服务恢复时，告警清除。 告警属性 告警ID 告警级别 是否自动清除 27001 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 数据库服务不可用，无法对上层服务提供数据入库、查询等功能，使部分服务异常。 可能原因 浮动IP不存在。 没有主DBServer实例。 主备DBServer进程都异常。 处理步骤 检查集群环境中是否存在浮动IP 。 1. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 >DBService > 实例”。 2. 查看是否有主实例存在。 是，执行步骤3。 否，执行步骤9。 3. 选择主DBServer实例，记录IP地址。 4. 以root用户登录上述IP所在主机，执行ifconfig命令查看DBService的浮动IP在该节点是否存在。 是，执行步骤5。 否，执行步骤9。 5. 执行ping 浮动IP地址命令检查DBService的浮动IP的状态，是否能ping通。 是，执行步骤6。 否，执行步骤9。 6. 以root用户登录DBService浮动IP所在主机，执行以下命令删除浮动IP地址。 ifconfig interface down 7. 在FusionInsight Manager首页，选择“ 集群 > 待操作集群的名称 > 服务 > DBService > 更多 > 重启服务”重启DBService服务，检查是否启动成功。 是，执行步骤8。 否，执行步骤9。 8. 等待约两分钟，查看告警列表中的DBService服务不可用告警是否恢复。 是，处理完毕。 否，执行步骤14。

邮件触发维度 邮件提醒频率 用量维度 用量用尽前70%、90%、100%。 时间维度 有效期到期前1天、3天、7天。

本文向您介绍出现多用户登录Windows主机时无法打开浏览器问题时的解决方案。 问题描述 存在多用户登录Windows弹性云主机时无法打开浏览器的情况。例如：某一用户已经打开了浏览器，但第二个用户打不开浏览器。 处理方法 以IE浏览器为例。 1. 在桌面选择浏览器图标，单击右键选择“创建快捷方式”。 2. 选择新创建的快捷方式，单击右键选择“属性”。 3. 选择“快捷方式”页签，找到“目标(I)”，在末尾添加如下内容。 说明 · 在末尾先添加空格再添加以上内容，即.exe"和user中间有空格。 · c:MyInternetExplorerData表示的是Internet Explorer的数据文件存放位置，可以设置为任何有效的文件夹路径，如果此文件夹不存在，Internet Explorer浏览器会自动创建。 下图是浏览器属性。 4. 经过保存修改后就可以实现多个用户同时打开浏览器。

本节为您介绍WAN+4G/5G链路备份的操作场景、前提条件、操作步骤。 操作场景 智能网关设备可以配置有线带宽WAN和无线4G/5G互为主备链路，例如：设置有线宽带WAN为主用链路，无线4G/5G为备用链路。当主用链路发生故障时，自动切换至备用链路。您可以在智能网关管理控制台查看当前智能网关设备接入Internet的链路状态。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件版的创建，且未进行链路设置。 在购买智能网关时，开启LTE/5G服务。开启后，智能网关硬件设备出厂时会携带一个4G/5G模块，该模块插入智能接入网关设备后可作为有线宽带WAN备份链路，在有线宽带WAN链路故障时为您传输数据。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击目标智能网关“操作”列的“链路设置”。 5. 在链路设置界面，根据页面提示进行主备链路设置。 6. 单击“确认”按钮。

SNAT是一种网络地址转换技术，以通过转换后的外网地址访问外部网络，本节为您介绍如何配置私网SNAT。 操作场景 在NAT配置页签，配置SNAT规则后，内部网络可以通过转换后的对外服务IP访问外部网络。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成智能网关硬件版的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入智能网关实例详情页。 5. 单击“NAT配置”页签，单击“配置SNAT规则”，进入配置SNAT规则界面。 6. 在配置SNAT规则页面，根据页面提示配置参数，参数信息如下： 参数 描述 SNAT类型 私网SNAT。 对外服务IP 请填写内网网段转换后的源IP地址，例如：192.168.1.1。注意： 该地址不可与已经配置过的其他对外服务IP具有重复关系，请重新配置。 该地址若与已经配置的子网具有包含关系，可能会造成路由冲突，请知悉风险。 本端私网网段 可选激活时配置的私网网段，支持多选。 7. 点击“确认”按钮。

本章节主要介绍翼MapReduce的配置队列操作。 操作场景 根据业务需要，管理员可以通过FusionInsight Manager修改指定租户的队列配置。 前提条件 已添加使用Capacity调度器的租户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 动态资源计划”。 默认显示“资源分布策略”。 3. 单击“队列配置”页签。 4. “集群”参数选择待操作的集群名称，然后在指定租户资源名的“操作”列，单击“修改”。 说明 l 在“租户管理”页签左侧租户列表，单击目标的租户，切换到“资源”页签，单击也能打开修改队列配置页面。 l 一个队列只能绑定一个非default资源池。 队列配置参数 参数名 描述 租户资源名（队列） 租户及队列名称。 最大应用数量 表示最大应用程序数量。 AM最大资源百分比 表示集群中可用于运行application master的最大资源占比。 用户资源最小上限百分比（%） 表示每个用户最低资源保障（百分比）。任何时刻，一个队列中每个用户可使用的资源量均有一定的限制。当一个队列中同时运行多个用户的应用程序时，每个用户的使用资源量在一个最小值和最大值之间浮动，其中，最小值取决于正在运行的应用程序数目，而最大值则由此参数决定。比如，假设此参数的值设置为25。当两个用户向该队列提交应用程序时，每个用户可使用资源量不能超过50%，如果三个用户提交应用程序，则每个用户可使用资源量不能超多33%，如果四个或者更多用户提交应用程序，则每个用户可用资源量不能超过25%。 用户资源上限因子 表示用户使用的最大资源限制因子，与当前租户在集群中实际资源百分比相乘，可计算出用户使用的最大资源百分比。 状态 表示资源计划当前的状态，“运行”为运行状态，“停止”为停止状态。 默认资源池 表示队列使用的资源池，默认为“default”。如果需要修改为其他资源池，需要先配置队列容量，请参见配置资源池的队列容量策略。 5. 单击“确定”完成配置。

操作场景 如果您已经在本地生成了密钥对（例如使用PuTTYgen工具），您可以将公钥导入到控制中心，让系统维护您的公钥文件。这样，您就可以轻松地在创建云主机时选择导入的密钥对进行身份认证。 操作步骤 1. 登录控制中心，单击顶部的，选择“地域”。 2. 单击左侧导航栏“产品服务列表”，选择"计算>弹性云主机"。 3. 在左侧导航栏，单击"SSH密钥对"，进入密钥对列表。 4. 单击右上角的"导入密钥对"按钮，在“文件”选框上传公钥文件。 说明 最多支持1024字符长度（包括1024字符）的公钥导入。 仅支持RSA类型的密钥。 5. 复制内容到“公钥内容”文本框，手动输入公钥名称。 6. 下拉选择“企业项目”。 7. 点击“确定”按钮，完成SSH密钥对导入。 8. 返回SSH密钥对列表页，查看导入的SSH密钥对。

本文档主要介绍 Windows云主机开机自动挂载CIFS文件系统的最佳实践。 本文档主要介绍Windows云主机开机自动挂载cifs文件系统的最佳实践。 1.编写xxx.bat文件，具体示例如下： @echo off net use z: 127.0.0.1bssUserxxxxxxxxxxfiletest1 "testuser"/user:"testpassword" z为网络驱动器盘符。 bssUserxxxxxxxxxx为用户标识。 testuser为需要登录的CIFS账号。 testpassword为对应的CIFS密码。 bssUserxxxxxxxxxx、testuser、testpassword您均可以通过控制台在对应的文件系统点击 【查看】 ，从“用户标识“、“CIFS账号”、“CIFS密码”字段获取，如下图： 2.将该文件放至目录C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup下，重启即可自动挂载。 3.文件系统中可能有隐藏目录，需要在文件“查看”属性中勾选“隐藏的项目”，如下图：

本节介绍云容器引擎的最佳实践：使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统可以确保通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本节介绍跨集群跨地域容灾迁移。 为了应对集群单点宕机故障，分布式容器云平台CCE One的集群联邦提供多集群多活应用、秒级流量接管能力。业务应用的实例可以多集群多活的部署在不同容器集群服务中，当集群单点宕机故障发生时，集群联邦可以秒级自动完成应用实例的弹性迁移以及流量的切换，业务的可靠性大大提升。 多活容灾方案示意如下图所示，通过创建域名访问规则，将应用分发到多个Kubernetes集群，包括两个天翼云CCE集群（部署在不同Region）和一个其他云的Kubernetes集群，实现应用的多活容灾。 前提条件 已开通一个天翼云CCE集群和一个三方云集群。 已订购具备策略解析能力的公网DNS服务，例如GTM等；天翼云当前无此类产品售卖，因此需用户自行准备，或找专门的DNS服务提供商购买。 适用场景 对应用容灾高可用有较高要求，希望实现业务极致弹性及高可用的场景。 操作指引 本文将基于天翼云CCE集群和阿里云ACK集群，演示如何实现多集群应用容灾与自动迁移能力。 步骤一：将天翼云CCE集群及三方云集群，注册到CCE One，并加入到联邦成员中 1. 在【集群资源】>【注册集群】页面，选择天翼云类型注册集群，并根据指引将提前创建的天翼云CCE集群和阿里云ACK集群关联进来； 2. 进入【舰队管理】页面，创建舰队并添加上面关联的两个CCE One注册集群； 3. 进入【联邦管理】页面，根据指引订购集群联邦实例，并将联邦实例与上面的舰队进行关联； 由于舰队中成员集群与联邦存在跨资源池情况，联邦联通网络可能需要用户手工干预才能联通；具体可参考指引 打通注册集群与联邦实例之间的联通网络 如下图所示： 已成功注册到联邦的成员集群，其【接入联邦状态】应为“已连接”；若连接状态为“添加失败”，则可以参考上面指引进行网络配置调整，并修改【联邦网络类型】到对应类型后，触发后台再次自动尝试连接。

本文介绍了客户支持计划重保支持的适用场景。 重保支持是针对客户在重要活动或事件期间对其关键业务提供短期的重保服务。 一级重保服务： 适用于客户业务系统具有实时要求高、业务连续性高或有明显业务高峰期的应用场景。重保服务期间故障响应及处理标准按最高级别处理，一级重保期间停止业务所使用资源的所有变更，同时停止资源池可能影响业务系统的一切割接操作（包括自动和手动）。考虑到一级重保影响范围广且实施所需资源多，客户至少提前14天提交重保申请，一个重保周期原则上最长不超过3天。 二级重保服务： 适用于客户业务系统实时性和业务连续性要求较高的应用场景。重保服务期间故障响应及处理标准提高一个级别，重保期间停止业务所使用资源的手工变更（故障修复除外），同时停止资源池可能影响业务系统的手动割接操作。考虑到二级重保影响范围较广且实施所需资源较多，客户至少7天提交申请，一个重保周期原则上最长不超过5天。 三级重保服务： 提供基本资源池级保障，并按客户要求提供保障服务。考虑到三级重保影响及所需资源，客户至少提前5天申请重保服务，一个重保周期原则上最长不超过10天。 支持计划级别 服务权益说明 :: 轻量级 最多1次三级重保 商业级 最多4次三级重保 企业级 最多4次重保，包含限定次数的一级、二级或三级重保

项目 描述 时间选择 请求次数和返回码次数查询的时间段，可以选择查看下列时间段的请求次数和返回码次数： 今日。 昨日。 近7日。 近30日。 根据日历按钮，选择查询任意90天请求次数和返回码次数。 时间粒度 请求次数和返回码次数查询的时间粒度，可以选择： 按五分钟查询：统计信息按每5分钟展示，可以选择查询今日、昨日或按日历选择任意1天的数据。 按小时查询：统计信息按每小时展示，可以查询今日、昨日、近7日或按日历选择任意7天内的数据。 按天查询：统计信息按天展示，可以查询今日、昨日、近7日、近30天或按日历按钮选择任意90天内的数据。 数据位置 请求次数和返回码次数查询数据位置，可以选择： 全部数据位置：展示所有数据位置的请求次数之和、返回码次数之和。 具体数据位置：根据显示的数据位置进行选择，查看对应数据位置的请求次数和返回码次数。 存储桶 请求次数和返回码次数查询的存储桶，可以选择： 全部存储桶：展示所有存储桶的请求次数之和、返回码次数和值。 具体存储桶：根据显示的存储桶，选择查看对应存储桶的请求次数和返回码次数。 请求类型 请求次数和返回码次数的请求类型： 全部请求。 GET。 HEAD。 PUT。 POST。 DELETE。 OTHERS。 存储类型 选择请求次数查询的存储类型： 全部存储类型：分别展示标准存储和低频访问存储的请求次数。 标准类型：标准存储的请求次数。 低频访问存储：低频访问存储的请求次数。

本节是关于天翼云智能语音交互服务条款介绍。 产品服务条款请参见天翼云智能语音交互服务协议。

本章节主要介绍 ALM12066 节点间互信失效。 告警解释 系统每一个小时检查一次主OMS节点和其他Agent节点间的互信是否正常，如果存在互信失效的节点，则发送告警。待客户修复改问题，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 12066 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 可能会导致管理面的一些操作异常。 可能原因 /etc/ssh/sshdconfig配置文件被破坏。 omm密码过期。 处理步骤 查看/etc/ssh/sshdconfig配置文件状态 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看告警详情中涉及的主机列表。 2.以omm用户登录主OMS管理节点。 3.依次在告警详情中的节点执行ssh 命令：ssh host2 （host2为告警详情中OMS节点之外的其它节点），看是否连接失败。 是，执行步骤4。 否，执行步骤6。 4.打开host2主机上的“/etc/ssh/sshdconfig”配置文件，查看另外节点是否配置在AllowUsers 、DenyUsers等白名单或者黑名单中。 是，执行步骤5。 否，联系OS专家处理。 5.修改白名单或者黑名单设置，保证omm用户在白名单中或者不在黑名单中。然后持续一段时间观察告警是否清除。 是，操作结束。 否，执行步骤6。

本节介绍了专属云（计算独享型）到期提醒的相关内容。 到期： 专属云（计算独享型）到期前7天、3天、1天系统向您发送提醒短信和邮件。 数据保留 ：到期后您的计算资源将被冻结，资源保留15天，保留期内您可进行续费，保留期后未续费的专属云（计算独享型）资源将完全销毁，无法恢复。 您在专属云（计算独享型）产品中创建的云硬盘（包括系统盘、数据盘）、公网IP和带宽等将按照公有云中的价格进行计费，订购的上述资源都是按需计费资源，按需计费资源在“退订”之前会持续计费，请在使用结束时对按需资源执行退订操作。

本节介绍了专属云（存储独享型）到期提醒的有关内容。 到期 专属云到期前7天、3天、1天系统向您发送提醒短信和邮件。 数据保留 到期后您的资源将被冻结，资源保留15天，保留期内您可进行续费，保留期后未续费的专属云资源将完全销毁，无法恢复。 您在专属云（存储独享型）产品中创建的公有云存储资源（包括系统盘、数据盘）、公网IP和带宽等将按照公有云中的价格进行计费，订购的上述资源都是按需计费资源，按需计费资源在“退订”之前会持续计费，请在使用结束时对按需资源执行退订操作。

天 CDM支持配置每几天执行一次作业。 重复周期（天）：从开始时间起，每多少天执行一次作业。 有效期：分为开始时间和结束时间。 −开始时间：表示定时配置生效的时间，也是第一次自动执行作业的时间。 −结束时间：该参数是可选参数，表示停止自动执行的时间。如果不配置，则表示一直自动执行。 周 CDM支持配置每几周执行一次作业。 重复周期（周）：表示从开始时间起，每多少周执行一次定时任务。 触发时间（天）：选择每周几自动执行作业，可单选或多选。 有效期：分为开始时间和结束时间。 −开始时间：表示定时配置生效的时间。 −结束时间：该参数是可选参数，表示停止自动执行的时间。如果不配置，则表示一直自动执行。 月 CDM支持配置每几月执行一次作业。 重复周期（月）：从开始时间起，每多少个月自动执行定时任务。 触发时间（天）：选择每月的几号执行作业，该参数值取值范围是“1～31”，可配置多个值但不可重复，中间使用“,”分隔。 有效期：分为开始时间和结束时间。 −开始时间：表示定时配置生效的时间。其中的时、分、秒也是每次自动执行的时间。 −结束时间：该参数为可选参数，表示停止自动执行定时任务的时间。如果没有配置，则表示一直自动执行。

功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云服务器进行访问。 弹性云主机必须处于SQL Server实例所属安全组允许访问的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库版本 支持以下版本： 2022 企业版 2022 标准版 2022 WEB版 2019 企业版 2019 标准版 2019 WEB版 2017 企业版 2017 标准版 2017WEB版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 数据库的超级管理员权限 超级管理员权限一旦开启无法关闭。且一旦实例创建过超级管理员账号后，将不再享受SLA保障。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。部分参数可能要重启才能生效，请谨慎操作。 搭建数据库复制 SQL Server本身提供主备复制架构的双节点集群，无需用户手动搭建。主备节点间数据复制方式默认使用异步复方式，暂不支持修改。其中备节点不对用户开放，应用不可直接访问。 重启实例 无法通过命令行重启，必须通过SQL Server服务的管理控制台操作重启实例。

参数 是否必填 参数说明 参考样例 版本说明 否 1. 创建模板将自动生成模板的第一个版本，之后每次更新都将自动为版本号+1。 2. 可在版本说明处简要说明当前版本特点，最长可输入255个字符。 批量创建5台云主机 模板内容 是 1. 新增tf文件，在文件中按照

本文为您介绍云容灾支持的操作系统版本。 目前仅支持64位操作系统，且云主机的规格不能小于2CPU+4GB内存。 注意 1. Linux系统的/boot分区和/分区必须在同一磁盘，若不满足同一磁盘要求，建议手动调整磁盘后，再注册受保护实例进行容灾。 2. 请确认主机的操作系统与内核版本是否在下方支持列表中，不支持的操作系统与内核版本安装容灾客户端将会失败。 支持的操作系统版本如下表所示： 操作系统类型 操作系统版本 内核版本 位数 CentOS 7.6 3.10.01160.119.1.el7.x8664 64 CentOS 7.9 3.10.01160.119.1.el7.x8664 64

操作系统与容器运行时的对应关系 节点类型 操作系统 内核版本 容器运行时 容器存储Rootfs OCI 运行时 弹性云主机 CTyunOS 23.01 5.10 Containerd OverlayFS runC 弹性云主机 CentOS 7.9 5.4 Containerd OverlayFS runC 弹性裸金属 CTyunOS 23.01 5.10 Containerd OverlayFS runC 弹性裸金属 CentOS 7.9 5.4 Containerd OverlayFS runC 集群版本与容器运行时对应关系 集群版本 容器运行时 运行时版本 v1.23.3 containerd 1.6.23 v1.23.3 docker 20.10.12 v1.25.6 containerd 1.6.23 v1.25.6 docker 20.10.12 v1.27.8 containerd 1.6.23 v1.27.8 docker 20.10.12 v1.29.3 containerd 1.6.23 v1.29.3 docker 20.10.12

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 通知模板名称 ，长度240个字符。 xsZSu service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs contents 是 Array of Objects 通知模板 content isDefault 否 Boolean 是否为自定义默认通知模板，默认值为false false