本文介绍如何创建路由。 云容器引擎平台支持对路由的URL配置，通过对应的URL将访问流量分发到对应的服务。同时，服务根据不同URL实现不同的功能。 操作步骤 1.单击左侧控制台导航栏的【资源管理】>【网络管理】，将默认进入【服务】管理页面，点击【ingress】页签，切换到【ingress】管理界面； 2.单击【创建Ingress】，进入ingress创建界面，参照下表设置参数，其中带“”的参数为必填参数； 参数 参数说明 Ingress名称 新建Ingress的名称 集群 Ingress所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 Ingress所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 对外协议 支持HTTP和HTTPS。若选择HTTPS，SSL策略中选择SSL终端，请填写私密凭据，无合适的私密凭据，可点击创建IngressTLS类型的私密凭据，跳转到私密凭据创建页；SSL策略选择SSL穿透 对外端口 开放公网地址的端口，在对外协议中选择HTTP时，为9080；HTTPS时，为9443 域名 实际访问的域名地址，对应负载均衡服务域名地址，需用户购买备案自己的域名，可选填。一旦配置了域名规则，则必须使用域名访问 路由配置 . 访问路径：需要注册的访问路径，例如：/healthz . 服务名称：选择需要添加Ingress的服务 . 服务端口：由所选服务暴露的端口决定，不可选 . 添加映射：点击添加映射新增一行映射 3.单击【创建】，等待创建成功，创建成功后将自动返回服务列表页，可对已经创建的服务可以编辑YAML、更新、删除的操作。

基本信息 负载类型：选择守护进程DaemonSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 容器运行时：CCE集群默认使用普通运行时。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 健康检查：设置容器健康检查 环境变量：设置环境变量 数据存储：存储概述 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 容器日志：使用ICAgent采集容器日志 说明 负载实例数大于1时，不支持挂载云硬盘类型的存储。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本节介绍网络的用户指南：为Pod配独占网卡和固定IP及独立子网、安全组。 背景信息 独占ENI模式可为Pod提供最佳网络性能，提供高网络吞吐量和无限接近主机的网络延迟，适用于对网络性能有严格需求的场景，如视频流、科学计算等。该模式下，Cubecni插件将弹性网卡（ENI）投射到Pod给Pod独占使用，支持为有状态集（StatefulSet）提供固定IP能力，以及Pod或Namespace粒度的子网和安全组配置。 使用限制 Cubecni支持版本为v1.1.3，可检查kubesystem下守护进程cubecni的cubecnidaemon镜像版本是否不低于v1.1.3 独占ENI的Pod不支持NetworkPolicy，可配置安全组实现访问控制 使用独占ENI的Pod，其部署密度受到云主机ENI数限制，详见弹性网卡使用限制 固定ENI（IP）只适用于有状态集 该特性目前处于内测阶段，仅对以下资源池开放：华东1，华北2，长沙42，杭州7，上海15，乌鲁木齐7，武汉41，芜湖4，西安7，西南1，西南2，上海36，呼和浩特3 使用方法 步骤1和步骤2可选，用于声明带特定标签的Pod或特定Namespace下的Pod的独占ENI使用哪些子网和安全组，从而实现Namespace或Pod粒度的子网和安全组配置； 步骤3演示如何创建使用独占ENI的Pod，步骤4演示如何创建使用固定ENI（IP）的有状态集。

本节主要介绍如何使用API迁移iSCSI target。 此操作用来迁移iSCSI target，修改iSCSI target对应的服务器。 说明 一次只允许迁移iSCSI target对应的一个服务器。 注意 执行迁移iSCSI target之前，需要保证集群处于working状态，同时目的服务器需要处于正常已连接状态。 目前仅支持强制迁移iSCSI target，强制迁移iSCSI target可能会造成数据丢失。 如果被迁移的iSCSI target已被卷连接，且该卷已经被客户端挂载，迁移iSCSI target前，需要客户端与原iSCSI target IQN断开；迁移后，确保原iSCSI target IQN不能被发现，客户端重新连接迁移后的iSCSI target IQN。 迁移完成后，请检查并调整target允许访问列表配置，确保符合访问控制要求。 请求语法 plaintext PUT /rest/v1/block/target/targetName/migrate?forceforce HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "server": [ { "source": sourceserverID, "dest": destserverID } ] } 请求参数 参数 类型 描述 是否必填 targetName String iSCSI target名称。 取值：长度范围是1~16，可以由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 是 force Boolean 是否强制迁移iSCSI target。 注意 目前仅支持强制迁移iSCSI target，强制迁移iSCSI target可能会造成数据丢失。 取值：true：强制迁移iSCSI target。 是 server Array of server 迁移的源和目的服务器集合，详见“表1 请求参数server说明”。 是 表1 请求参数server说明 参数 类型 描述 是否必填 source String iSCSI target的源服务器ID。 是 dest String iSCSI target的目标服务器ID。 是

本节介绍了设置SSL数据加密的相关内容。 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器； 加密数据以防止数据中途被窃取； 维护数据的完整性，确保数据在传输过程中不被改变。 由于老版本客户端存在SSL兼容问题（客户端版本低于5.1），RDS for MySQL新实例默认关闭SSL数据加密，如果确认客户端无兼容性问题，开启SSL请参考开启SSL加密，开启SSL会增加网络连接响应时间和CPU消耗，开启前请评估对业务的性能影响。 通过客户端连接实例提供两种连接方式：加密连接和非加密连接。 SSL未开启（默认），使用非加密连接数据库。 SSL已开启，使用SSL加密连接。加密连接实现了数据加密功能，具有更高的安全性。 注意 开启或关闭SSL加密会导致实例重启，实例重启时客户端会断开连接，请谨慎操作。 加密套件建议使用ECDHERSAAES128GCMSHA256/ECDHERSAAES256GCMSHA384/DHERSAAES128GCMSHA256/DHERSAAES256GCMSHA384。 开启SSL加密 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在“基本信息”页面，在“SSL”处单击 。 步骤 6 在弹出框中，单击“确定”，开启SSL加密。 步骤 7 稍后可在“基本信息”页面，查看到SSL已开启。 结束

1. 登录弹性云主机，创建用户和组，以test用户为例。 groupadd sftp useradd g sftp s /sbin/nologin test 2. 设置用户密码。 passwd test 3. 设置目录权限。 chown root:sftp /home/test chmod 755 R /home/test mkdir /home/test/upload chown R test:sftp /home/test/upload chmod R 755 /home/test/upload 4. 执行以下命令，编辑sshdconfig文件。 vim /etc/ssh/sshdconfig 注释掉如下信息 Subsystem sftp /usr/libexec/openssh/sftpserver 补充如下内容： Subsystem sftp internalsftp Match Group sftp ChrootDirectory /home/%u ForceCommand internalsftp AllowTcpForwarding no X11Forwarding no 5. 重启云主机，或执行以下命令重启sshd服务。 systemctl restart sshd 6. 在本地主机执行以下命令，远程连接到服务器。 sftp root@ IP地址 连接成功后，您可以使用交互式的sftp命令。 7. 执行以下命令，上传或下载文件、文件夹。 上传文件：put r

本节介绍如何从云安全中心控制台进入安全体检控制台并使用安全体检产品。 云安全中心提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况，并输出体检报告。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 跳转到安全体检控制台，详细操作指导请参见安全体检产品文档。

安装Agent后，如果验证发现Agent与数据库安全审计实例之间通信异常，请参照本章节进行处理。 故障现象 在数据库端或应用端安装Agent后，在数据库上输入SQL语句，SQL语句列表中未显示该SQL语句。 可能原因 待审计的数据库信息有误 待审计的数据库未开启审计功能 数据库安全审计实例未配置安全组规则 待审计的数据库的安装节点Agent程序没有运行 处理步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要排查的数据库所属的实例。 6. 检查添加的数据库信息以及审计状态。 7. 检查待审计的数据库信息，如下图所示。 8. 检查数据库安全审计实例的入方向安全组规则。 在左侧导航树中，选择“实例列表”，进入实例列表界面。 单击需要处理的实例名称，进入实例概览页面。 在“网络配置信息”区域，记录数据库安全审计实例的“安全组”（例如Sysdefault）。 单击管理控制台上方的“服务列表”，选择“网络 > 虚拟私有云 VPC”，进入虚拟私有云列表界面。 在左侧导航树中，选择“访问控制 > 安全组”，进入安全组列表界面。 在列表右上方的搜索框中输入步骤8.3中记录的安全组“Sysdefault”后，单击 或按“Enter”，列表显示“Sysdefault”安全组信息。 单击“Sysdefault”，进入“入方向规则”页面。 检查“Sysdefault”安全组的入方向规则。 9. 添加数据库安全审计实例安全组的入方向规则。

本小节介绍查看容器防护配额列表。 节点列表展示了云容器引擎服务（CCE）中集群节点的防护状态、节点状态和Agent状态，帮助您实时了解节点的安全状态。 约束限制 仅支持Linux系统。 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持容器相关操作。 查看节点列表 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、在左侧导航栏中，选择“资产管理 > 容器管理”，单击“容器节点管理”。 4、选择“节点列表”页签，查看节点防护状态。节点列表参数说明如表所示。 节点列表参数 参数名称 说明 服务器名称 目标服务器名称。 容器防护状态 节点的防护状态，包括： 未防护 防护中 服务器状态 运行中 不可用 正常 Agent状态 在线 离线 未安装 查看防护配额 在“容器节点管理”界面，选择“防护配额”页签，查看防护配额详细信息。 配额信息 参数名称 参数说明 配额版本 容器安全企业版。 配额状态 正常：配额状态。 已过期：配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的容器；冻结期满，该配额将被彻底删除。 使用状态 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。

应用场景 用户后端服务器所在的VPC与创建实例所选择的VPC处于不同的场景时，用户如何完成服务配置，并且实现跨VPC对接？本文以CTELB（弹性负载均衡）为例，讲述如何在API网关上开放内网ELB中的服务。 方案架构 图1 API网关跨VPC开放后端服务 方案优势 帮助用户根据业务诉求进行灵活配置，无需修改原有业务网络架构，直接将请求转发到后端服务上。 约束与限制 VPC1、VPC2、APIG实例系统VPC网段不能重叠。 VPC网段规划 VPC1 APIG实例系统VPC VPC2 ::: 10.X 172.31.0.0/16 不能与VPC1和APIG实例系统VPC重复。 172.X 192.168.0.0/16 不能与VPC1和APIG实例系统VPC重复。 192.X 172.31.0.0/16 不能与VPC1和APIG实例系统VPC重复。

本文介绍云容器引擎Serverless版的功能特性。 虚拟节点 Serverless集群无需管理节点，但为了兼容原生Kubernetes，以及提供应对突发业务流量的弹性能力，您仍会在集群中看到虚拟节点的存在。 Pod配置 在Serverless集群中创建Pod时，您可以通过添加Annotation来定制Pod。 网络管理 Serverless集群支持Service和Ingress等对象的个性化定制，并且允许通过CoreDNS和弹性IP等办法提供服务发现功能。 存储管理 支持天翼云盘挂载，提供标准的CSI，支持存储卷的自动创建。 可观测性 Serverless集群支持安装相应组件启动监控功能。 镜像管理 Serverless集群支持使用ImageCache来加速创建Pod，帮助您快速响应业务。 组件管理 Serverless集群提供多种类型的组件，以扩展集群的各种功能。根据业务需求，您可以随时部署、升级或卸载这些组件。 应用管理 Serverless集群支持灰度发布、蓝绿发布、应用监控以及应用弹性伸缩。同时，内置的模板市场支持Helm应用一键部署，大大简化云服务集成。

本文帮助您快速熟悉创建IPv4/IPv6双栈子网的操作方法。 1. 登录控制中心； 2. 在系统首页，单击【网络 > 虚拟私有云】； 3. 选择需要创建子网的VPC，并单击【子网】，在【子网】页签，单击【创建子网】； 4. 在【创建子网】下拉区域，根据界面提示配置参数； 5. 勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭。暂不支持自定义设置IPv6网段。如下图： 6. 在子网列表中单击子网名称，在“已用IP地址”页签可以查看已经使用的IPv4地址和IPv6地址。

本节介绍了变更云数据库TaurusDB的变更配置。 规格变更 变更TaurusDB实例规格：您可以根据业务需求变更TaurusDB实例规格，变更后即刻按照变更后的实例规格的价格计费。 扩容存储空间：您可以根据业务需求增加您的存储空间，扩容后即刻按照新的存储空间计费。您需要注意的是存储空间只允许扩容，不能缩容。您每次扩容的最小容量为10GB。 变更计费 如需更改计费方式，请参考包周期实例转按需和按需实例转包周期章节进行计费方式转换。 支持单个包周期（包年/包月）实例转为按需实例，但需要包周期到期后按需计费才会生效。 支持单个按需实例转为包周期（包年/包月）实例，长期使用资源的推荐包周期计费，可享受优惠。

本节为您介绍云迁移服务CMS中数据库迁移工具使用流程。 使用数据库迁移工具，您需在迁移源数据库、目标数据库和数据库迁移工具控制台进行操作。迁移源数据库和目标数据库，需打通与节点的网络；通过数据库迁移工具控制台进行后续的任务配置等操作。 数据库迁移工具中迁移评估/数据迁移/数据同步/数据订阅服务流程总览如下图所示： 数据库传输工具中的迁移任务需要将数据库源端和目标端与子节点网络打通，具体请见组网视图：

本节介绍了 通过公网连接Microsoft SQL Server实例（Windows方式）的相关内容。 当不满足通过内网IP地址访问RDS实例的条件时，可以使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for SQL Server实例。 提供两种连接方式通过SQL Server Management Studio客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 非SSL连接 步骤 1 启动SQL Server Management Studio客户端。 步骤 2 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为已绑定的弹性公网IP地址。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 3 单击“连接”，连接实例。 结束 SSL连接 步骤 1 下载并上传SSL根证书。 1. 登录管理控制台。 2. 单击管理控制台左上角的 ，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的 ，下载根证书或捆绑包。 5. 将根证书导入弹性云主机Windows操作系统，请参见如何将RDS实例的SSL证书导入Windows/Linux操作系统。 说明 请在原有根证书到期前及时更换正规机构颁发的证书，以提高系统安全性。 对于Microsoft SQL Server，绑定公网IP后，需重启实例才能使SSL连接生效。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为已绑定的弹性公网IP地址。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“选项”，在“连接属性”页签，填选相关信息，并勾选“加密连接”，启用SSL加密（系统默认不勾选“加密连接”，即不启用，需手动启用）。 图 连接属性 步骤 5 单击“连接”，连接实例。 结束

本文说明删除域名后的配置保留情况。 对域名进行删除操作后，天翼云视频直播会直接删除加速域名在节点的配置。 注意 删除加速域名操作，将会删除域名在平台、节点上的域名配置信息，并且该操作为不可逆，请谨慎进行操作。 如果您想暂停使用直播加速，但希望保留域名配置信息时，可以通过单击域名列表中操作栏中的【更多】中的【停用】按钮实现。 已停用域名，如果需要恢复服务，可以单击【启用】按钮；当需要清空域名配置时，可以单击【更多】中的【删除】按钮。

本节主要介绍还原卷。 在“卷管理”页面，点击“还原”，可以还原上云卷。 以下场景适合还原卷功能： 原HBlock中存在上云卷，并且将数据上传到了云端。如果此时HBlock发生故障无法启动，可以通过还原卷的功能，在另一个HBlock中将该卷重新生成，并且从云端进行数据恢复。 原上云卷被删除，但云上数据保留，可以通过还原卷功能恢复卷数据。 注意 在执行还原卷的操作前，请确保源卷已经将所有数据上传到云端，并且源卷不再继续使用（源卷已删除，或者源卷所在系统已经停止服务）。 还原的卷名称在当前HBlock中不存在。 还原的卷必须在指定的Bucket/prefix中找到，且数据完整。 还原操作异步执行，请通过查询卷的功能查看还原进度。 在单机版还原卷之前，需确保其对应的数据目录中无该卷的残留数据。 卷处于还原中、还原失败状态时，不支持读写。 图1 还原卷（单机版） 图2 还原卷（集群版） 云端信息 项目 描述 卷名称 源卷的名称。 对象存储服务 指定还原卷的对象存储服务名称： OOS：天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 说明 源卷和还原卷必须使用相同的对象存储服务。 Endpoint 源卷的Endpoint。 注意 如果仅输入域名将会使用HTTPS协议进行访问。 OOS Endpoint详见OOS Endpoint和区域。 存储桶 存储桶信息。输入源卷的存储桶的名称和前缀名称。如果源卷未指定前缀名称，此处不填写。 前缀取值：字符串形式，长度范围是1~256。 注意 请勿开启Bucket的生命周期设定和合规保留。 签名版本 指定上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 默认值为v2。 区域 Endpoint资源池所在区域。 V4签名时，此项必填。 存储类型 设置还原卷上传数据至对象存储的存储类型： 标准存储。 低频访问存储。 默认为源卷的存储类型。 AK/SK 卷的Access Key和Secret Access Key。 卷标识码 源卷的唯一标识码。 压缩 还原卷是否压缩数据上传至对象存储： 启用：压缩数据上传至对象存储。 禁用：不压缩数据上传至对象存储。 默认值为源卷的配置。 配置信息 项目 描述 iSCSI目标 指定还原卷的iSCSI target名称。 iSCSI目标名称：字符串形式，长度范围1~16，只能由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 说明 还原卷时，如果指定的iSCSI target名称不存在，那么同时创建iSCSI target。 缓存存储池 指定还原卷的缓存存储池（仅集群版支持）。如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 存储池 指定还原卷的存储池（仅集群版支持），表示最终存储池，卷数据最终落在该存储池内。默认使用集群的基础存储池。 注意 存储池与缓存存储池不能是同一个存储池。 卷冗余模式 还原卷的冗余模式（仅集群版支持）： 取值： 副本: 单副本。 两副本。 三副本。 EC N+M：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。分片大小可以为1 KiB、2 KiB、4 KiB、8 KiB、16 KiB、32 KiB、64 KiB、128 KiB、256 KiB、512 KiB、1024 KiB、2048 KiB、4096 KiB。 默认使用源卷的配置。 说明 以下场景均为集群可用的前提下： 还原EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 还原副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 最小副本数 还原卷的最小副本数（仅集群版支持）。点击“卷冗余模式”后的“更多”按钮，可以填写最小副本数。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。如果未设置还原卷的最小副本数，默认值为源卷的配置。 折叠副本数 指定还原卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定了还原卷的折叠副本数，必须指定还原卷的冗余模式。 类型：整型 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[1，N+M]。如果未设置还原卷的折叠副本数，默认值为源卷的折叠副本数。 卷存储模式 还原卷的存储模式： 缓存模式：本地保留部分热数据，全部数据异步存储到对象存储中。 存储模式：本地保留全部数据，并异步存储到对象存储中。 默认使用源卷的配置。 高可用 还原卷的高可用类型（仅集群版支持）： 主备：该卷关联对应target下的所有IQN。 禁用：不启用主备，该卷关联对应target下的1个IQN。 默认值为源卷的配置。 写策略 还原卷的写策略： 回写：指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 透写：指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 绕写：指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为源卷的配置。 数据目录 单机版本创建卷时，指定卷数据的存储位置（仅单机版支持）。 如果创建卷时不指定数据目录，使用服务器设置的默认数据目录。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 提交还原卷信息后，会弹出“还原卷”确认信息窗口： 点击“取消”，返回“还原卷”信息填写页面。 点击“确定”，执行卷还原操作。 图3 还原卷信息确认（单机版） 图4 还原卷信息确认（集群版）

本节介绍了如何设置在公网下云数据库TaurusDB的安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和TaurusDB实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用TaurusDB实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性IP连接TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和TaurusDB数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当TaurusDB数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的TaurusDB数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的TaurusDB数据库实例。

本文为您介绍如何使用集群的API Server审计功能实现集群安全运维。 为了帮助集群管理人员更安全高效地运维集群，Serverless集群提供了API Server 的审计日志能力。这些日志直接来源于API Server 内部，详细记录了每一次对 Kubernetes API 的访问。通过分析这些日志，可以轻松定位“是谁在何时操作了哪个资源”，这对于追溯集群活动、排查故障、减轻安全运维压力是必不可少的。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 采集的日志将以日志流的形式发送到您账号下指定的云日志服务的日志项目中，且云日志服务使用统一的按量付费方式计费。 安装ctglogoperator日志插件 收集API Server审计日志需要先安装日志插件： 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 也可以通过在左侧导航栏，选择运维管理 >下的日志中心，点击“安装插件”。 等待ctglogoperator插件安装完成。 4. 在左侧导航栏，选择运维管理下的日志中心。 5. 在日志中心页面，单击“kubernetes审计日志”页签，然后单击“立即开启”。 6. 在配置kubernetes审计日志接入页，选择创建或使用已有日志项目，修改日志存储时间，点击“确定”。

此小节介绍云堡垒机资产账号管理。 每个被云堡垒机纳管的资产可能有一个或多个登录资产的账号。若您已配置了资产的相关账号，那么运维人员在登录纳管资产时，可以自动登录无需输入账号和密码。 前提条件 仅“管理角色”支持资产相关的操作。 新增资产账号 资产账号有两种添加方式： 在新增资产时添加，具体可参考资产章节。 在“资产账号”模块添加，本章节内容以此添加方式展开介绍。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 资产账号”，进入“资产账号”页面。 3.单击“新增”按钮，在弹出的“新增资产账号”对话框中添加资产信息。 参数 参数说明 取值样例 资产名 选择需要添加资产账号的资产，请确保待添加的账号可以正常登录该资产。 账号名 填写可登录资产的账号名，例如：Administrator。 Administrator 密码 （可选）输入正确的账号密码。若不输入密码，则在登录资产时需要填写正确的密码才可登录。 私钥 （可选）若账户登录需要使用私钥验证，请开启此选项并且上传RSA私钥证书，并填写证书密码保存至堡垒机中。 使用协议 （可多选）请选择资产的协议，支持选择：SSH、TELNET、SFTP、FTP、X11、RDP和数据库。 SSH 状态 （可选）选择新增账号目前的状态，可选“正常”或“冻结”。 正常 4.填写完成后单击“提交”即成功新增资产账号。

本地接入验证 为确保网站业务的连续性，推荐您在接入WAF前做本地可用性验证。 本地接入步骤 以域名portal.damddos.com为例，具体操作步骤如下： 1. 获取CNAME值，您可以通过添加配置后在WAF防护配置列表中获取WAF生成的CNAME记录值。 如下图所示，portal.damddos.com域名已添加到WAF的网站配置中，WAF为其分配了CNAME值：portal.damddos.com.iname.damddos.com。 2. 获取WAF的回源IP，ping“CNAME”值并记录“CNAME”对应的IP地址。 在Windows中打开cmd命令行工具，运行 ping portal.damddos.com.iname.damddos.com 获取WAF的回源IP。 如下图所示，在响应结果中可以看到用来防护您的域名的WAF回源IP。 3. 在本地修改hosts文件，将域名及“CNAME”对应的WAF回源IP添加到“hosts”文件。 1. 用记事本或notepad++等文本编辑器打开hosts文件，hosts文件一般位于“C: WindowsSystem32driversetc”路径下。 2. 在hosts文件添加记录内容，对应的IP地址即在上述步骤中获取的云WAF防护IP地址，后面的域名即被防护的域名。 3. 修改hosts文件后保存，然后本地ping一下被防护的域名。 此时解析到的IP地址应该是上述步骤中配置的WAF防护IP地址。 如果依然是源站地址，可尝试刷新本地的DNS缓存（Windows的cmd下可以使用 ipconfig/flushdns命令）。

本页介绍天翼云TeleDB数据库如何报告可能的安全漏洞或安全缺陷。 天翼云数据库团队欢迎您通过工单或邮件（teledb@chinatelecom.cn）向我们报告数据库产品可能存在的安全漏洞或安全缺陷，我们将第一时间处理并向您反馈结论。 为提高确认安全漏洞的效率，欢迎您在相关报告中明确发现产品或组件版本，复现问题的具体方法。相关安全漏洞在未经天翼云确认前，请勿向互联网或第三方公开。 天翼云数据库团队漏洞处理的大概流程： 报告者将可能的安全漏洞报告给天翼云数据库团队; 团队记录并第一时间安排专家复现验证，分析原因； 与报告者私下沟通确认更多漏洞细节； 无论是否确认为安全漏洞，均答复报告者具体原因和后续方案； 若为超危、高危安全漏洞的且无法短时间修复的，将先输出临时解决方案，再进行完整修复； 若为新增安全漏洞的，将按照国家相关规定，向国内相关漏洞收录组织报告； 修复完成后，通过合适手段向天翼云数据库用户公开漏洞信息和修复方案。

包年 /包月的云硬盘怎么删除或者退订？ 随云主机购买的包年/包月的云硬盘不支持单独退订。需要和云主机一同退订。 单独购买的包年/包月云硬盘支持单独退订。 退订云主机时，云硬盘会一起退订吗？ 单独购买的云硬盘：单独购买的云硬盘如果已挂载至云主机，在删除云主机时，系统会提示是否同步删除挂载的云硬盘，您可以根据实际情况进行选择。 随云主机购买的云硬盘：退订云主机时，云硬盘同步退订。 系统盘和数据盘有什么不同？ 系统盘 ：云主机中用于安装操作系统、存放系统配置文件的云硬盘。类似于个人传统PC中的C盘。用户在购买云主机时，必须同时购买系统盘，购买成功后，系统盘会自动挂载至云主机。系统盘的最大容量为2048GB。 数据盘 ：在云主机与物理机中存放数据的云硬盘，类似于个人传统PC中的D盘、E盘、F盘。数据盘有两种购买方式，一种是在购买云主机时购买，此时数据盘将会自动挂载至云主机。第二种购买方式为在云硬盘管理控制台单独购买，单独购买之后用户需要将云硬盘手动挂载至云主机。数据盘的最大容量为32TB（32768 GB）。 用户可根据实际的业务需求与成本预算来决定系统盘的具体容量以及是否购买数据盘。当云主机承载业务数据量较小，且系统盘可以满足需求，则可以不购买数据盘，若数据量比较大，建议您购买数据盘。

接口功能介绍 防护目录删除 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/tamperProof/config/deleteDirectory 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 serverIp 是 String 防护服务器IP 192.168.1.1 directoryIdList 是 Array of Integers 防护目录ID列表 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

本文为您介绍资源编排ROS的产品优势。 完全兼容 Terraform与Provider 生态 充分融入 Terraform 生态，兼容其 Provider、模板与状态管理能力，用户可直接复用广泛的社区资源，实现跨云一致的 IaC 编排体验，大幅降低学习成本并提升自动化效率。 极简自动化，实现高效部署 依托模板化编排框架与智能自动化引擎，ROS 将资源部署流程压缩至 “模板设计 参数配置 一键执行” 三个核心步骤。用户只需通过代码定义一次资源架构模板，即可在多环境中重复部署，避免重复劳动，自动化引擎会全程接管资源创建、依赖处理、配置校验等繁琐操作。这种 “一次设计，多次复用” 的模式，将传统数小时的部署流程缩短至分钟级，人力投入减少 80% 以上，让团队从机械操作中解放出来，聚焦核心业务创新。 安全治理，保障合规可控 ROS内置变更审核、模板合规性校验与资源风险扫描能力：操作前，通过模板合规性校验，平台将为您自动拦截不合规配置；操作后，平台将完整记录每一次变更的执行人、时间、内容及影响范围，形成可追溯的审计日志。 此外，部署前的变更评估功能会提前预判资源的变更内容，并提供规避建议，让每一次资源操作都处于可控范围内，满足金融、政务等行业的严苛合规要求，让每一次资源变更都可知、可控、可追溯，有效降低风险。

本节介绍云容器引擎的最佳实践：密钥Secret的安全使用。 在Kubernetes中，您可以使用Secret对象来存储敏感信息，例如密码、OAuth令牌和ssh密钥等。但Secret在etcd中以base64编码格式存储，base64编码不等于加密。因此建议用如下方式使用Secret。 严格限制Secret权限 通过文件挂载的方式使用Secret时，容器内映射的文件权限默认为0644，建议为其配置更严格的权限，例如： apiversion: v1 kind: Pod metadata: name: podauth spec: containers: name: mypod image: nginx volumeMounts: name: example mountPath: "/etc/example" volumes: name: example secret: secretName: mysecret defaultMode: 256 其中“defaultMode： 256”，256为10进制，对应八进制的0400权限。 “隐藏”Secret文件 使用文件挂载的方式时，通过配置Secret的文件名实现文件在容器中“隐藏”的效果： apiVersion: v1 kind: Secret metadata: name: mysecretfile data: .mysecretfile: dmFsdWUtMg0KDQo apiVersion: v1 kind: Pod metadata: name: mysecretfilepod spec: volumes: name: myvolume secret: secretName: mysecretfile containers: name: secretcontainer image: nginx command: ls "1" "/etc/volume" volumeMounts: name: myvolume readOnly: true mountPath: "/etc/volume" 这样.mysecretfile目录在/etc/volume/路径下通过“ls l”查看不到，但可以通过“ls al”查看到。 加密Secret文件内容 用户应在创建Secret前自行加密敏感信息，使用时再解密。

步骤二：添加后端主机组 添加处理前端请求的后端主机组。 1. 设置后端主机组名称。 2. 选择后端主机类型，仅可选云主机。 3. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：参考HTTP监听器负载方式&健康检查配置说明, 完成负载方式和健康检查配置。 完成步骤三后，点击“立即创建”，完成HTTP监听器创建。 HTTP监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数；最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTP协议的会话保持方式支持如下重写Cookie/植入Cookie。植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。重写Cookie：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机；选择植入Cookie时，可设置会话保持超时时间。缺省3600s。选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’。 HTTP方法 可选GET或HEAD。 WebSocket支持 选用HTTP监听时，默认支持无加密版本WebSocket协议（WS协议）。仅集群资源池支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本文介绍数据迁移工具适用场景。 媒体存储为客户提供在线迁移服务，客户可以通过在线迁移服务实现以下数据迁移场景： 将同个账号的媒体存储的某个Bucket数据迁移至另一个Bucket。 跨不同的天翼云账号迁移媒体存储间的数据。 将第三方数据，如阿里云、AWS等数据迁移到媒体存储。 目前在线迁移服务为内测能力，如有需要，可联系您的专属客户经理开通试用。

本节介绍删除QoS策略中关联的智能网关实例。 操作场景 用户删除QoS策略已关联的智能网关实例。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成QoS策略的创建，且与智能网关实例进行关联。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击目标访问控制“操作”列的“管理实例”。 5. 用户可以取消已选中的智能网关。 6. 单击“取消关联”，解除QoS策略与智能网关实例的关联关系。 说明 用户也可以进入“目标访问控制详情”页面。单击“关联实例 >添加实例”，可添加智能网关实例；单击目标规则“操作”列的“删除”，或着选中想要删除的智能网关实例，单击“取消关联”，可删除已关联的智能网关实例。

本节为您介绍如何操作离线锁定/解锁。 操作场景 当前设备开启离线锁定功能后，如果设备的离线时间超过约定时长，系统将自动锁定设备。锁定后，无法通过该设备访问SDWAN相关服务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已经购买智能网关设备。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关的实例名称，进入详情页。 5. 在详情页，单击“离线锁定”按钮。 6. 在离线锁定界面，设置离线时长，离线时间超过该时长后，系统将自动锁定设备。 7. 设置完锁定后，如果需要继续使用设备，需要先将设备解锁，同时确保设备在线。点击详情页“解锁”，在解锁界面，根据弹框提示，单击“确认”按钮，完成解锁设备。

本节为您介绍查看设备信息。 操作场景 您购买智能网关设备后，系统会在智能网关列表页创建一个智能网关实例，您可以通过智能网关实例查看您智能网关设备的基本信息。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已经购买智能网关设备。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”。 5. 单击目标设备名称，进入详情页。在详情页，单击“基本信息”页签，查看设备的基本信息。 6. “基本信息”页签为您展示智能网关设备的设备信息、装维服务、基础带宽、客户信息等内容。 7. “基本信息”页签为您展示智能网关设备的设备信息、装维服务、客户信息等内容。

本文为您介绍修改告警联系人的操作场景、前提条件和操作步骤。 操作场景 告警联系人的联系方式发生变化时，需要及时去控制台修改告警联系人的联系方式。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警联系人的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 您可以通过以下两个路径修改告警联系人: 方式一：在“告警联系人”界面，单击待修改联系人所在行的“修改”按钮。 方式二：在“告警联系组”界面，展开待修改联系人所在的告警联系组，单击联系人所在行的“修改”按钮。 6. 修改后，单击“确定”按钮。