禁用root用户直接登录 Linux的默认管理员名即是root，只需要知道root密码即可直接登录SSH。禁止root从SSH直接登录可以提高服务器安全性。经过以下操作后即可实现。 1. 新建用户 useradd test 2. 配置密码 使用passwd命令即可给相应帐户设置或修改密码。 passwd test 根据图示，设置或修改密码需要填写两次，第二次为效验密码，输入完毕后请回车确认。 Changing password for user test. New password: Retype new password: passwd: all authentication tokens updated successfully. 3. 配置不允许root用户直接登录，修改相关文件 vi /etc/ssh/sshdconfig 查找 PermitRootLogin yes” 默认为132行 将“ ”去掉，末尾“Yes”改为“No” 并:wq保存 4. 重启SSHD服务 systemctl restart sshd 5. 测试连接，可以看到，直接使用root 连接服务器 ssh会直接拒绝 添加安全组规则 安全组中的入方向规则默认开启了22端口，当云服务器的SSH登录端口修改为2222时，需要为安全组新加一条规则。 登录管理控制台。 1. 选择“计算 > 弹性云主机”，进入云主机控制台。 2. 单击云服务器名称进入详情页面。 3. 选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 4. 添加一条入方向规则。 采用密钥登录 密钥对登录比起密码登录更加安全，因此在创建弹性云主机时您可以选择密钥对登录的方式。 1. 新建密钥对，或者选择已有的密钥对，并下载至本地。 2. 创建云主机时，登录方式选择密钥对。 3. 使用xshell登录弹性云主机 通过弹性公网IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性公网IP 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 在“用户密钥”窗口中，单击“导入”。 选择本地保存的密钥文件，并单击“打开”。 单击“确定”，登录弹性云主机。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

本文介绍怎样配置弹性云主机的DNS和NTP信息。 Linux操作系统 操作系统均为CentOs 7.6为例： 步骤一：给弹性云主机配置NTP服务器 1. 登录Linux弹性云主机。执行以下命令，编辑ntp.conf文件。 vim /etc/ntp.conf 2. 添加以下语句，配置NTP服务器。 server NTP IP地址 3. 执行以下命令，系统重新启动时启动服务。 service ntp restart 4. 执行以下命令，检查NTP服务器的状态。 service ntp status 步骤二：给弹性云主机配置DNS服务器。 1. 登录Linux弹性云主机。执行以下命令，编辑resolv.conf文件。 vi /etc/resolv.conf 2. 添加如下语句，配置DNS服务器。 nameserver DNS服务器的IP地址 3. 执行以下命令，重启网络。 rcnetwork restart service network restart /etc/init.d/network restart Windows操作系统 以Windows 2012操作系统为例： 步骤一：配置DNS信息 1. 以用户名Administrator，登录Windows弹性云主机。 2. 在任务栏的右下角，右键单击网络连接的图标。单击“打开网络和共享中心”。 3. 在左侧导航栏，单击“更改适配器设置”。 4. 给弹性云主机配置DNS服务器。双击网络连接。 5. 选择“Internet 协议版本4（TCP/IPv4）”，并单击“属性”。 6. 选择“使用下面的DNS服务器地址”，并根据界面提示填写DNS服务器的IP地址，如图4所示。

本节介绍了扩展SCSI数据盘的分区和文件系统的相关内容。 操作场景 通过云服务管理控制台扩容成功后，仅扩大了云硬盘的存储容量，因此需要参考本章节操作扩展分区和文件系统。 对于Linux操作系统而言，需要将扩容部分的容量划分至已有分区内，或者为扩容部分的云硬盘分配新的分区。 本文以“CentOS 7.4 64位”操作系统为例，提供针对SCSI数据盘的MBR分区的操作指导。不同操作系统的操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应操作系统的产品文档。 注意 扩容时请谨慎操作，误操作可能会导致数据丢失或者异常，建议扩容前对数据进行备份，可以使用CBR或者快照功能，CBR请参见 前提条件 已通过管理控制台扩容云硬盘容量，并已挂载至云主机，请参见扩容“正在使用”状态的云硬盘容量或者扩容“可用”状态的云硬盘容量。 已登录云主机。 新增MBR分区 数据盘“/dev/sda”原有容量50GB，只有一个分区“/dev/sda1”。将数据盘容量扩大至100GB，本示例为新增的50GB分配新的MBR分区“/dev/sda2”。 步骤 1 执行以下命令，查看磁盘的分区信息。 fdisk l 回显类似如下信息： [root@ecsscsi ~]

P2s型弹性云主机功能如下： 处理器：第二代英特尔® 至强® 可扩展处理器 6278，主频2.6GHz，睿频3.5GHz，或英特尔® 至强® 可扩展处理器 6151, 主频3.0GHz，睿频3.4GHz。 支持NVIDIA Tesla V100 GPU卡，每台云主机支持最大8张Tesla V100显卡。 支持NVIDIA CUDA并行计算，支持常见的深度学习框架Tensorflow、Caffe、PyTorch、MXNet等。 单精度能力14 TFLOPS，双精度能力7 TFLOPS。 支持NVIDIA Tensor Core能力，深度学习混合精度运算能力达到112 TFLOPS。 单实例最大网络带宽30Gb/s。 使用32GiB HBM2显存，显存带宽900Gb/s。 完整的基础能力 网络自定义，自由划分子网、设置网络访问策略；海量存储，弹性扩容，支持备份与恢复，让数据更加安全；弹性伸缩，快速增加或减少云主机数量。 灵活选择 与普通云主机一样，P2s型云主机可以做到分钟级快速发放。 优秀的超算生态 拥有完善的超算生态环境，用户可以构建灵活弹性、高性能、高性价比的计算平台。大量的HPC应用程序和深度学习框架已经可以运行在P2s实例上。 常规软件支持列表 P2s型云主机主要用于计算加速场景，例如深度学习训练、推理、科学计算、分子建模、地震分析等场景。应用软件如果使用到GPU的CUDA并行计算能力，可以使用P2s型云主机。常用的软件支持列表如下： Tensorflow、Caffe、PyTorch、MXNet等常用深度学习框架 RedShift for Autodesk 3dsMax、VRay for 3ds Max等支持CUDA的GPU渲染 Agisoft PhotoScan MapD

该章节指导您通过Web应用防火墙服务下载仅记录和拦截的攻击事件数据，可下载5天内的全量防护事件数据，当天的防护事件数据，在次日凌晨生成到防护事件数据csv文件。 前提条件 已添加防护网站。 已生成了防护事件数据文件。 规格限制 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 在WAF控制台只能下载5天内的全量防护事件数据。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 步骤5 选择“下载”页签，下载防护数据文件，参数说明如表。 参数名称 参数说明 :: 文件名称 样式为文件名称.csv。 事件数量 被拦截和仅记录的事件总数量。 说明 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 步骤6 在目标时间段所在行的“操作”列，单击“下载数据”，下载到本地。 防护数据文件字段参数说明 字段 字段说明 示例 ::: action 防护事件的防护动作。 block attack 攻击的类型。 SQL Injection body 攻击者的请求实体内容。 cookie 攻击者的Cookie。 headers 攻击者的消息头。 host 防护的网站域名或IP。 www.example.com id 标识防护事件的ID。 02111620201121060347feb42002 payload 攻击者对防护网站造成伤害的组成部分。 pythonrequests/2.20.1 payloadlocation 攻击者对防护网站造成伤害的位置或访问URL的次数。 useragent policyid 标识防护策略ID。 d5580c8f6cd4403ebbf85892d4bbb8e4 requestline 攻击者的请求行。 GET / rule 防护事件对应的规则编号。 81066 sip Web访问者的公网IP地址（攻击者IP地址）。 time 防护事件发生的时间。 2020/11/21 0:20:44 url 防护域名的URL。 /

本文介绍了关系数据库MySQL版的内存使用率过高的一些处理方法以及MySQL的内存分配方式。 对于用户核心业务相关的但是配置相对较低的数据库实例 建议您扩容实例规格，具体请参见规格扩容。 对于非用户核心业务相关的数据库实例 查看实例虚拟机内存使用率的相关监控，内存使用率曲线持续平缓，则无需处理。 对于用户核心业务相关但是数据库规格配置高的数据库实例 1. 通过控制台监控，观察实例的内存使用趋势情况，如果实例的内存使用率仍持续保持较高： 扩容实例规格。 调整数据库参数innodbbufferpoolsize的值： 数据库实例内存为2GB规格，参考值256MB。 数据库实例内存为4GB规格，参考值1GB。 数据库实例内存为8GB规格，参考值3GB。 数据库实例内存大于8GB规格，则无需调整。 说明 根据实际业务实际情况和内存使用情况，调整参数innodbbufferpoolsize的值。 MySQL本身具有内存动态平衡机制，系统内存使用率90%以下时可无需关注。 MySQL的内存分配可划分为Engine层与Server层。 Engine层的内存包括InnoDB Buffer Pool、Log Buffer、Table Cache、Table definition Cache，其中InnoDB Buffer Pool主要用于缓存表数据页、索引页、数据字典等常用数据，数据库的绝大部分内存都被此占用，这类缓存一般都为常驻内存。InnoDB缓冲池是一个内存区域，可以通过参数innodbbufferpoolsize改变缓冲池大小。 Server层的内存占用较高的包括Thread Cache、Binlog Cache、Sort Buffer、Read Buffer、Join Buffer，read buffer等线程缓存，针对每个数据库连接会话独立分配的缓存，独立缓存的总量与连接数成正比，连接数越高，总的独立缓存便越大，但是这类缓存往往会随着连接关闭而释放，并非常驻内存。 以上内存的分配导致MySQL实例运行时内存使用率在80%左右。

本章介绍分布式缓存服务Redis版的典型应用场景。 Redis应用场景 很多大型电商网站、视频直播和游戏应用等，存在 大规模数据访问 ，对 数据查询效率要求高 ，且 数据结构简单 ， 不涉及太多关联查询 。这种场景使用Redis，在速度上对传统磁盘数据库有很大优势，能够有效减少数据库磁盘IO，提高数据查询效率，减轻管理维护工作量，降低数据库存储成本。Redis对传统磁盘数据库是一个重要的补充，成为了互联网应用，尤其是支持高并发访问的互联网应用必不可少的基础服务之一。 以下举几个典型样例： 1. （电商网站）秒杀抢购 电商网站的商品类目、推荐系统以及秒杀抢购活动，适宜使用Redis缓存数据库。 例如秒杀抢购活动，并发高，对于传统关系型数据库来说访问压力大，需要较高的硬件配置（如磁盘IO）支撑。Redis数据库，单节点QPS支撑能达到10万，轻松应对秒杀并发。实现秒杀和数据加锁的命令简单，使用SET、GET、DEL、RPUSH等命令即可。 2. （视频直播）消息弹幕 直播间的在线用户列表，礼物排行榜，弹幕消息等信息，都适合使用Redis中的SortedSet结构进行存储。 例如弹幕消息，可使用ZREVRANGEBYSCORE排序返回，在Redis5.0中，新增了zpopmax，zpopmin命令，更加方便消息处理。 3. （游戏应用）游戏排行榜 在线游戏一般涉及排行榜实时展现，比如列出当前得分最高的10个用户。使用Redis的有序集合存储用户排行榜非常合适，有序集合使用非常简单，提供多达20个操作集合的命令。 4. （社交APP）返回最新评论/回复 在web类应用中，常有“最新评论”之类的查询，如果使用关系型数据库，往往涉及到按评论时间逆排序，随着评论越来越多，排序效率越来越低，且并发频繁。 使用Redis的List（链表），例如存储最新1000条评论，当请求的评论数在这个范围，就不需要访问磁盘数据库，直接从缓存中返回，减少数据库压力的同时，提升APP的响应速度。

本节介绍了弹性云主机变更规格后网卡漂移怎么办的相关内容。 问题描述 以Linux操作系统为例，如果在变更规格后执行ifconfig命令发现云主机原来是eth0、eth1的网卡设备没有了，变成了eth2、eth3，说明云主机变更规格后发生了网卡漂移。 根本原因 出现网卡漂移的现象，是由于创建云主机使用的镜像的操作系统中打开了网卡保留规则，才导致该云主机变更规格后出现网卡漂移。 Windows操作系统云主机解决方法 Winsows操作系统云主机出现网卡链接名漂移问题，删除如下注册表下的目录，重启云主机即可解决网卡漂移问题。 HKEYLOCALMACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles HKEYLOCALMACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged Linux操作系统云主机解决方法 登录变更规格后的云主机，执行以下操作，并重启云主机，解决网卡漂移问题。 1. 执行以下命令，查看网络规则目录下的文件。 ls l /etc/udev/rules.d 2. 执行以下命令，删除网络规则目录下，文件名同时包含persistent和net的规则文件。 rm fr /etc/udev/rules.d/netpersistent.rules rm fr /etc/udev/rules.d/persistentnet.rules 3. 执行以下命令，查看initrd开头且default结尾的initrd映像文件，是否存在同时包含persistent和net的网络设备规则文件(以下命令中斜体内容请以实际操作系统版本为准)。 lsinitrd /boot/initrd2.6.32.120.7default grep persistentgrep net − 是，执行4和5。 − 否，结束，无需执行后续操作。 4. 执行以下命令，备份initrd映像文件(以下命令中斜体内容请以实际操作系统版本为准)。 cp /boot/initrd2.6.32.120.7default /boot/initrd2.6.32.120.7defaultbak 5. 执行以下命令，重新生成initrd映像文件。 mkinitrd 当类似Ubuntu等系统使用initramfs系统映像时，操作如下： 1. 执行以下命令，查看initrd开头且generic结尾的initramfs映像文件，是否存在同时包含persistent和net的网络设备规则文件。 lsinitramfs /boot/initrd.img3.19.025genericgrep persistentgrep net − 是，执行2和3。 − 否，结束，无需执行后续操作。 2. 执行以下命令，备份initrd映像文件。 cp /boot/initrd.img3.19.025generic /boot/initrd.img3.19.025genericbak 3. 执行以下命令，重新生成initramfs映像文件。 updateinitramfs u

本节主要介绍创建、查看和删除VPC子网。 使用说明 创建VPC之后，需要在VPC下创建子网，才能使用云上网络地址。 规划子网的个数，根据业务需求，在VPC下创建一个或者多个子网。 在VPC有和其他VPC、本地数据中心的互通需求时，若不能做到VPC的网段不重叠，则需要确保互通的子网之间不冲突。 在删除子网时，需要确保该子网下的计算资源已经全部释放后，才能删除子网。 创建的子网网段不能与VPC关联的路由表已添加的路由条目的目的地址完全一样，可修改子网网段或者调整VPC路由条目。 创建子网 创建子网包括在创建VPC时创建子网和在已有VPC上创建子网，其中创建VPC时创建子网，请参考创建虚拟私有云的操作指南，在已有虚拟私有云上创建子网参考如下操作。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟私有云>VPC和子网】，选择对应的地域，查看该地域下已创建的虚拟私有云，选择所要创建子网的虚拟私有云，点击其操作栏的【新增子网】，在创建子网的页面，填入相关的参数。 创建子网的相关参数。 参数 说明 虚拟私有云 显示创建该子网所属的虚拟私有云名称。 地域 显示创建该子网所属的虚拟私有云所在的地域。 网段 显示创建该子网所属的虚拟私有云的网段。 名称 自定义子网的名称，若未填写则使用系统默认生成名称。 网络类型 包括IPv4和IPv4/v6两种网络类型，当地域有规划IPv6资源时默认为IPv4/v6，当地域没有规划IPv6资源时，默认为IPv4。IPv4网络类型只为该子网分配IPv4网段，IPv4/v6网络类型会同时为该子网分配IPv4网段和IPv6网段。 IPv4子网网段 该子网从虚拟私有云的网段中分配的IPv4网段，该网段的子网掩码范围最小为VPC网段的最小掩码，最大为29，每个子网网段中第一个、第二个和最后一个地址为预留地址，其他地址皆为可用地址。 IPv6子网网段 在网络类型选择IPv4/IPv6时，会展示该选项，为系统自动分配。 3. 若需要为该虚拟私有云创建多个子网，可以单击【+添加子网】继续创建子网。 4. 配置子网参数后，勾选协议，单击【立即创建】执行创建。

云容器引擎如何获取客户端真实IP 如果您的服务部署在云容器引擎（Cloud Container Engine，简称CCE）上，云容器引擎会将真实的客户端IP记录在XOriginalForwardedFor字段中，并将WAF回源地址记录在XForwardedFor字段中。您需要修改云容器引擎的配置文件，使Ingress将真实的IP添加到XForwardedFor字段中，以便您正常获取真实的客户端IP地址。 您可以参考以下步骤，对云容器引擎配置文件进行修改。 1. 执行以下命令修改配置文件“kubesystem/nginxconfiguration”。 plaintext kubectl n kubesystem edit cm nginxconfiguration 2. 在配置文件中添加以下内容： plaintext computefullforwardedfor: "true" forwardedforheader: "XForwardedFor" useforwardedheaders: "true" 3. 保存配置文件。 保存后配置即刻生效，Ingress会将真实的客户端IP添加到XForwardedFor字段中。 4. 将业务程序获取客户端真实IP的字段修改为XOriginalForwardedFor。

本文向您介绍如何解决GPU设备显示异常问题。 问题描述 GPU弹性云主机中，执行nvidiasmi命令查看GPU设备状态或使用情况时，有如下问题： 单卡GPU弹性云主机上，报错“No devices were found”。 多卡GPU弹性云主机上显示卡数目不全，执行 lspcigrep i nvidia显示GPU卡数目正常。 可能原因 GPU设备或者驱动状态异常。 处理方法 请尝试在控制台，执行重启GPU弹性云主机操作。再执行nvidiasmi查看GPU设备信息和状态，确认GPU数量是否正常。 如果问题依然存在，请联系客服，由技术支持人员处理。

本文主要介绍云数据库GaussDB 能否赋予用户权限 云数据库GaussDB 如何赋予用户SUPER权限？ 云数据库GaussDB 不能赋予用户SUPER权限。 如果无法导入存储过程，是因为存储过程语句中有部分需要super权限的语句，去掉这些语句后，即可正常导入存储过程。

方向 授权策略 类型 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 Any Any 默认安全组ID (例如：sgxxxxx) 允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv6 Any Any 默认安全组ID (例如：sgxxxxx) 允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv4 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv4 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的通讯状况。

本节介绍了安装CloudInit工具的操作场景、前提条件、安装步骤说明等内容。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），请在创建私有镜像前安装CloudInit工具。 安装CloudInit工具时需要从官网下载并安装，因此，需要提前为云主机绑定弹性公网IP。 不安装CloudInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudInit，不需要执行安装及配置操作。 用户导入镜像创建的云主机，请按照指导安装及配置CloudInit。配置CloudInit操作请参考配置CloudInit工具章节。 前提条件 已为云主机绑定弹性公网IP。 已登录云主机。 云主机的网卡属性为DHCP方式。 安装步骤说明 1. 请先检查是否已安装CloudInit工具。 具体操作请参考下文“检查是否已经安装CloudInit工具”。 2. 安装CloudInit工具。 CloudInit安装方式分为：采用官方提供的包源安装CloudInit工具（优先推荐）、采用官方提供的CloudInit源码包通过pip方式安装CloudInit工具和采用源码编译安装方法，如下文。 检查是否已经安装CloudInit工具 请先执行如下步骤检查是否已安装CloudInit工具。 在不同的操作系统下，查看是否已经安装CloudInit工具的方法不同，以CentOS 6系列为例，执行以下命令查看是否安装CloudInit工具。 rpm qa grep cloudinit 回显类似如下，表示已经安装CloudInit工具，无需重复安装。 cloudinit0.7.510.el6.centos.2.x8664 如果已安装CloudInit工具，还需要执行以下操作： 请确认当前云主机操作系统中的证书是否继续使用。如果不再使用该证书，请删除证书。 − root用户对应目录下的文件（如 “/$path/$to/$root/.ssh/authorizedkeys”），执行以下命令： cd /root/.ssh rm authorizedkeys − 非root用户对应目录下的证书文件（如 “/$path/$to/$noneroot/.ssh/authorizedkeys”），执行以下命令： cd /home/centos/.ssh rm authorizedkeys 执行以下命令，清除CloudInit工具产生的缓存，确保使用该私有镜像创建的云主机可以使用证书方式登录。 sudo rm rf /var/lib/cloud/ 说明： 设置完成后请勿重启云主机，否则，需重新设置。

本节为您介绍迁移管理相关问题。 迁移管理工具列表有哪些？ 服务器迁移服务（CMSSMS）、 数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）。 迁移管理工具是否区分同构与异构迁移工具？ 区分。 云迁移服务提供工具中心管理功能，您可以在工具管理中心选择对应工具通过相应概述作为工具结构区分，也可以直接帮助中心查看对应相关引导。 迁移管理工具兼容性如何？ 云迁移管理工具，具备高效、稳定、易用等特点；支持阿里云、腾讯云、华为云多家云厂商，拥有迁移一体化平台、生命周期可视化界面表达。 云迁移各工具是否具备使用说明书？ 具备。 云迁移服务平台提供工具管理中心功能，你可以根据迁移工具概述选择，您也可以在云迁移服务工具中心中选择对应工具的帮助中心查阅信息。 调度管理中心调度任务能否支持显示调度状态？ 支持。 进入迁移中心调度管理页面详情中，调度任务列表可以显示调度状态信息。 创建调度任务需要几步操作？ 基本信息填写包括（调度名称、调度时间、重复规则、调度规则、问题错误处理）； 调度规则选项（继续任务、暂停任务、带宽限制、CPU限制、停止增量、开始核查、引导修复、取消何查） 错误处理（继续并发资源调度、中止并发资源调度） 资源选取，在列表中选择对应资源信息； 资源确认； 调度任务如何查看是否成功？ 查看调度任务具体步骤： 1. 左菜单栏进入调度管理； 2. 进入调度页，选择创建调度计划任务； 3. 查看计划任务调度状态； 4. 查看错误处理报告； 5. 点击操作栏中“日志”可以进入查看；

本节介绍了如何使用密钥对的相关内容。 问题描述 用户在购买弹性云主机时会选择弹性云主机的规格及登录方式，如果选择密钥对登录方式，需要选择已有密钥对或创建新的密钥对。 如果没有可用的密钥对，请在控制台创建新的密钥对进行使用。 处理方法 1. 在云主机控制台左侧导航栏中选择“密钥对”，并单击“创建密钥对”。 2. 创建成功后，下载私钥到本地。 3. 在购买弹性云主机时，在“密钥对”处选择已创建或已有的密钥对。

本页介绍天翼云TeleDB数据库删除存储过程的语法。 删除不带参数的存储过程 plaintext teledb CREATE OR REPLACE PROCEDURE proc1() AS $$ begin raise notice 'Hello teledbpg'; end; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb drop procedure proc1 ( ); DROP PROCEDURE teledb 删除带参数的存储过程 plaintext teledb CREATE OR REPLACE PROCEDURE proc1(aint int) AS $$ begin raise notice '%',aint; end; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb drop procedure proc1 ( aint int); DROP PROCEDURE teledb 也可以只指定参数的类型即可。 plaintext teledb drop procedure proc1 (int); DROP PROCEDURE teledb

MapReduce服务 DataArts Studio支持将MapReduce服务（简称MRS）作为数据湖底座，进行数据集成、开发与治理。 云数据仓库服务 DataArts Studio支持将云数据仓库服务（GaussDB(DWS)，简称DWS）作为数据湖底座，进行数据集成、开发、治理与开放。 云数据库服务 DataArts Studio支持将云数据库服务（Relational Database Service，简称RDS）作为作为数据源，进行数据集成、开发与开放。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建注册配置中心/云原生网关实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通注册配置中心/云原生网关实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问注册配置中心/云原生网关实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：注册配置中心/云原生网关的实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问注册配置中心/云原生网关实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

此小节介绍License相关问题。 云堡垒机是否提供第三方License？ 不提供。 云堡垒机有Navicat等第三方插件相关的功能，若用户通过Navicat等第三方插件进行数据库等资产管理，由于Navicat属第三方应用，云堡垒机不提供相应License认证，需要单独联系Navicat申请License。 如何处理“授权License快到期或者已到期，需及时更新License许可证”的问题？ 当堡垒机即将过期提示更新授权或者堡垒机已过期提示更新授权时，需要通过控制台为堡垒机实例续费获取新的授权许可证文件，更新许可证。 前提条件 拥有CBH操作权限。 已放通安全组和防火墙ACL出方向9443端口，解除网络限制，否则可能导致续费更新授权失败。 如果您的堡垒机版本是V3.3.2.0及以下版本，需要为堡垒机实例，否则可能导致续费更新授权失败。 操作步骤 1. 登录管理控制台。 2. 选择“安全与合规 > 云堡垒机”，进入云堡垒机控制台页面。 3. 单击待续费的实例，“操作”列的“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“计费模式”列查看授权后最新到期时间。大约5分钟后可正常登录云堡垒机系统。 说明 续费后，新的License许可证大约需5分钟自动下发授权并部署，请耐心等待。

本节介绍了初始化Linux数据盘（parted）的相关内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”为例，采用Parted分区工具为数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1.执行以下命令，查看新增数据盘。 lsblk 回显类似如下信息： root@ecstest0001 ~]

本节介绍了初始化Linux数据盘（fdisk）的相关内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”为例，采用fdisk分区工具为数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》 物理机服务器请参见《物理机用户指南》。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，使用fdisk分区工具将该数据盘设为主分区，分区形式默认设置为MBR，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1.执行以下命令，查看新增数据盘。 fdisk l 回显类似如下信息： [root@ecstest0001 ~]

本文介绍CDN+平台基本概念。 基本概念 CDN+平台 CDN+平台是一个综合平台，为全体天翼云客户提供AOne、媒体存储、边缘计算等产品。CDN+平台又包含了统一日志系统、统一 IAM、统一监控告警的中台能力。更多介绍可查看：CDN+平台介绍、如何登录CDN+平台。 工作区 工作区是一个可以共享合作的地方，工作区里有很多成员，有人是创建者，有人是管理员，有人是普通成员。所有的成员共享创建者的资源。 创建者拥有最高权限，创建者可以邀请其他已有CDN IAM账号的用户以及创建子用户 ，并可以给不同的人设置角色。更多介绍可查看：工作区介绍。 子用户 子用户是IAM平台引入的体系。如果您想找人一起共享或管理资源，在对方没有天翼云账号的情况下，您可以使用子用户功能，为对方创建子用户。更多介绍可查看：管理子用户。 角色管理 角色是权限策略的组合，您可以通过新增角色来引入新的访问控制策略。内置角色是平台提供的已经打包好的权限策略组合，可以供您快速添加与使用，无需自定义添加。您可以查看内置角色的详情，但不能修改。定制角色是您在当前工作区创建的角色，您可以自定义组装的权限策略，以满足复杂的业务场景。更多介绍可查看：角色管理。

本章节介绍应用容灾多活的日常巡检功能。 前提条件 已创建应用系统。 巡检操作 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页。 4. 在左侧导航栏选择运维监控 ，在运维监控菜单下单击日常巡检，进入巡检任务页面。 5. 单击巡检任务右侧巡检类型 列的 > 按钮，可以展开该次巡检结果列表。 6. 单击目标结果右侧详情 列，可以查看执行详情。 当结果显示为“运行异常”，您可以参考详情中的排障指引进行问题处理； 若结果显示为“存在风险”，建议您依据详情中的相关建议采取相应措施。 7. 单击页面上方设置 按钮，可以修改巡检配置。 开启状态 ：是否开启。 巡检间隔 ：每10分钟、每30分钟、每1小时、每2小时、每3小时、每6小时、每1天、每2天。 开始时间 ：巡检首次开始时间。 巡检模块 ：健康检查、延迟检查和一致性检查。 8. （可选） 单击页面上方手动巡检按钮，可以立即发起巡检任务。 表 巡检结果 名称 详情 分类 健康检查 延迟检查 一致性检查 层次 接入层 应用层 数据层 通用层 巡检项目 巡检项目名称 巡检描述 自定义巡检说明 巡检时间 巡检发起时间 耗时 巡检运行时间（秒） 结果 运行正常 运行异常 运行中 存在风险 详情 巡检的详细信息 说明 开启巡检任务时，需要包含至少一个巡检项。

本文为您介绍如何在ECI实例中查看GPU信息。 背景信息 nvidiasmi是NVIDIA System Management Interface的缩写，是一种用于监视和管理NVIDIA GPU的命令行工具。它提供了有关GPU的详细信息，包括GPU的使用情况、温度、电源消耗、驱动程序版本等。通过nvidiasmi，可以了解GPU的性能和健康状况，以及识别任何可能的问题。使用nvidiasmi，可以完成下列管理： 监视GPU的使用情况：nvidiasmi可以显示GPU的当前使用率、内存使用情况、温度和功耗等信息。这对于调试和优化GPU应用程序非常有用。 管理GPU的电源消耗：nvidiasmi可以显示GPU的功耗和电源限制，并允许您调整GPU的电源模式和限制，以平衡性能和功耗之间的关系。 检查驱动程序版本：nvidiasmi可以显示已安装的NVIDIA驱动程序的版本号，以便您了解驱动程序是否需要更新。 监控GPU的温度：nvidiasmi可以提供GPU的温度信息，帮助您确保GPU在安全的温度范围内运行。 前期准备 已开通天翼云弹性容器实例服务。 ECI容器镜像中已安装nvidia显卡驱动。 操作步骤 下面将介绍如何在ECI实例中使用nvidiasmi工具查看GPU信息： 1. 通过天翼云弹性容器实例订购页面创建ECI GPU实例。 2. 选择已安装nvidia显卡驱动的容器镜像。 3. 在ECI控制台管理页面进入实例详情。 4. 点击“远程连接”标签，当容器连接成功后，执行nvidiasmi命令即可查看GPU信息，如下图所示：

注意事项 1. 对于原先仅订购静态加速（中国内地）、下载加速（中国内地）、视频点播加速（中国内地）任一流量包套餐的存量客户（即从未订购过任何按量计费套餐的客户），需注意如下场景： 由于CDN加速流量包可直接用于抵扣客户加速类型为静态加速、下载加速、视频点播加速的业务，故对于在存量流量包用量用尽或有效期到期后希望继续使用流量包套餐的客户，允许在天翼云官网订购CDN加速流量包，且不做加速类型的变更，但需要保证流量包续订的及时性，否则在CDN加速流量包用量用尽或有效期到期后也会触发域名关停。 如无法保证流量包续订的及时性，则建议在续订的CDN加速流量包用量用尽或有效期到期前，完成域名加速类型的变更，即由原来的加速类型变更为【CDN加速】，这样在CDN加速流量包用量用尽或有效期到期后会自动转CDN加速的按量计费，该变更操作能更好的保证业务加速不被中断。变更加速类型可参考本文档场景2中建议的操作步骤。 2. 对于原先已订购静态加速（中国内地）、下载加速（中国内地）、视频点播加速（中国内地）任一按量计费套餐的存量客户，若没有新增的加速业务述求，在不做任何加速类型变更处理的前提下，所有业务可继续正常加速。若中途想订购流量包，在天翼云官网[订购CDN加速流量包](

天翼云全站加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。 适用场景 特别适合银行、证券等对数据安全要求极高的行业。 注意事项 天翼云全站加速支持SM2（非对称加密算法）、SM3（密码杂凑算法）、SM4（分组加密算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 如果您需要同时兼容国密和国际密码算法，请同时部署国密证书和HTTPS证书。 使用国密算法，需要您提供国密签名证书及私钥、国密加密证书及私钥。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。

指导用户通过密钥管理界面开启自动轮换密钥。 默认情况下，自定义密钥的自动密钥轮换处于禁用状态。当您启用（或重新启用）密钥轮换时，KMS会根据您设置的轮换周期自动轮换自定义密钥。 前提条件 密钥处于“启用”状态。 “密钥材料来源”为“密钥管理”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息页面。 步骤 5 单击“轮换策略”，进入“密钥轮换管理”页签。 步骤 6 单击，开启密钥轮换。 步骤 7 在弹出的“开启密钥轮换”对话框中，设置密钥轮换周期，并单击“确定”。 轮换周期（天）：取值范围为“30~365”的整数，默认“365”天。 轮换周期从此次设置的时间开始计算。 轮换周期需要根据自定义密钥的使用频率进行设置，若密钥使用频率高，建议设置为短周期；反之，则设置为长周期。 说明 如果自定义密钥开启密钥轮换以后，禁用了自定义密钥，KMS也不会轮换该自定义密钥。 当自定义密钥恢复到“启用”状态时，密钥轮换将立即重新激活。如果刚恢复“启用”状态的自定义密钥距离上次轮换的时间已超过轮换周期，KMS将在24小时内轮换该自定义密钥。 用户可修改轮换周期。修改轮换周期后，根据新设置的轮换周期进行轮换。

本文主要介绍了账单管理的常见问题。 如何在官网查看自己的消费概况？ 登录成功以后进入管理中心，在“费用中心账单概览”页面可以查看到当月及往期消费情况。 是否可以单独导出企业项目的账单？ 目前还不支持按企业项目进行分类导出按需费用。 什么是账期？ 账期是用于对账的一个时间范围，通常是一个自然月。一个账期结束后，系统会计算出用户在该账期内产生消费的全部费用明细，并生成账单。当月最终账单在次月3日生成，在次月4日10点后可查看和导出。 为什么会产生欠费？ 当用户开通或订购了按需计费产品时，在产品结算周期（小时/天/月）结束的时候，系统会自动生成账单并执行扣款。如果用户账户余额不足，就会出现欠费情况。 如何查看按需资源每天消费多少钱？ 登录官网后，在“费用中心账单管理账单详情”页面中，“统计维度”设置为“资源”，“统计周期”设置为“按天”，“计费模式”设置为“按需”，即可在账单详情列表中查看按需资源每天的消费情况。 如何查看资源的使用量和消费金额？ 登录官网后，在“费用中心账单管理账单详情”页面中，“统计维度”设置为“使用量”，“统计周期”设置为“明细”，“计费模式”设置为“按需”，即可在账单详情列表中查看资源的使用量和消费金额。 如何删除资源？ 如果资源不再使用，用户可以登录官网后进入产品控制台进行删除操作。资源删除后，资源不能找回。

连接名称 连接类型 虚拟私有云 子网 配置连接侧路由 存在阶段 erattachA 虚拟私有云（VPC） vpcA subnetA01 不开启 迁移中/迁移完成 erattachB 虚拟私有云（VPC） vpcB subnetB01 不开启 迁移中/迁移完成 erattachC 虚拟私有云（VPC） vpcC subnetC01 不开启 迁移中/迁移完成

本章节主要介绍通过专线访问。 MRS为您提供云专线（Direct Connect）方式访问MRS集群。云专线用于搭建用户本地数据中心与线上云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用线上云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。 前提条件 云专线服务可用，并已打通本地数据中心到线上VPC的连接通道。 通过专线访问MRS集群 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的“前往Manager”。 4. “访问方式”选择“专线访问”，并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”。 浮动IP为MRS为您访问MRS Manager页面自动分配的IP地址，使用专线访问MRS Manager之前您确保云专线服务已打通本地数据中心到线上VPC的连接通道。 5. 单击“确定”，进入MRS Manager登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 切换MRS Manager访问方式 为了便于用户操作，浏览器缓存会记录用户所选择的访问Manager的方式，如需切换访问Manager方式，参考如下步骤操作。 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的按钮。 4. 在弹出页面重新选择“访问方式”即可。 若由“EIP访问”切换为“专线访问”，请在专线网路互通的前提下，在弹出页面的“访问方式”选择“专线访问”并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”后单击“确定”。 若由“专线访问”切换为“EIP访问”，在弹出页面的“访问方式”选择“EIP访问”并参考访问MRS Manager（MRS 2.x及之前版本）中的通过弹性公网IP访问Manager配置EIP。若集群已配置过公网IP，直接单击“确定”以EIP方式访问Manager。