本节主要介绍物理机或其他公有云主机迁移至天翼云ECS 当需要实现物理机的上云迁移，把物理机迁移至天翼云ECS；或者把其他公有云主机迁移至天翼云ECS时，可以采用RDA主机迁移服务实现源端服务器到天翼云ECS的快速迁移。本章节主要介绍将物理机或其他公有云主机迁移至天翼云ECS的迁移场景和操作步骤。 测试资源准备 开通相关资源，建立迁移链路并测试连通性。获取迁移目的端所在账号的AK/SK。 RDA工具安装和配置 参考用户指南完成RDA工具的安装和配置。 待迁移主机添加配置 在RDA控制台完成源端主机资源添加，完成性能采集（可选）。 数据迁移 配置目的端，推送agent并创建启动迁移任务。在线迁移，增量同步。 割接校验 停止源端应用并进行最后一次增量迁移，完成后进行业务割接校验。

当您创建云主机时，可以使用内网DNS进行解析，不经公网直接访问OBS、SMN等内部服务。 当您创建云主机时： 若关联VPC子网的DNS服务器设置为公共DNS，云主机对云服务的访问需要通过公共DNS在Internet上进行解析。 当云主机访问OBS，SMN等云上服务时，解析过程如下图右侧的的“1～10”所示。 在解析过程中，因需要通过Internet，访问时延大，体验差。 若关联VPC子网的DNS服务器默认设置为内网DNS，云主机对云服务的访问直接通过内网DNS进行解析。 当云主机访问OBS、SMN等云上服务时，内网DNS直接返回这些云服务的内网地址，无需通过Internet，访问时延小，性能高，解析过程如下图左侧的“1~4”所示。 在这种情况下，无需配置即可通过内网DNS进行域名解析。 图访问内部服务

此小节介绍企业主机安全服务优势。 主机安全服务是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 集中管理 实现检测和防护的一体化管控，降低管理的难度和复杂度。 将Agent安装在ECS服务器中，您可以集中管理同一区域内多样化部署的主机。 您可以在安全控制台上统一查看同一区域内主机中各项风险的来源，根据各项风险的处理建议处理主机中的各项风险；利用多样化检索、批量处理等功能，快速分析同一区域内所有主机的风险。 精准防御 拥有先进的检测技术和丰富的检测库，提供精准防御。 全面防护 提供事前预防、事中防御、事后检测的全面防护，全面降低入侵风险。 轻量Agent Agent占用资源极少，不影响主机系统的正常运行。 网页防篡改 使用第三代网页防篡改技术，内核级事件触发技术，锁定用户目录下的文件后，有效阻止非法篡改行为。 篡改监测自动恢复技术，在主机本地和远端服务器上实时备份已授权的用户所修改的文件，保证备份资源的时效性。当主机安全服务检测到非法篡改行为时，将使用备份文件主动恢复被篡改的网页。

服务端为Linux系统(以Centos7.2 64位操作系统为例) 1. 检查配置文件 执行以下命令，检查配置文件。 cat /etc/vsftpd/vsftpd.conf 确保下面的内容已经正确填入。 listenYES listenipv6NO pasvaddressxx.xx.xx.xx 弹性云主机的公网IP地址 pasvminport20000 被动模式下的最小端口 pasvmaxport20045 被动模式下的最大端口 2. 检查安全组配置 点击 控制中心 > 服务列表 > 弹性云主机 ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择 安全组 ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口。 3. 重新进行客户端测试 a. 一种方法是使用FileZilla填写弹性云主机的公网ip，ftp的用户名和密码，端口填写21。 b. 另一种方法是在浏览器或者文件夹访问栏输入ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入ftp的用户名和密码。

本文将介绍如何为轻量型云主机添加防火墙规则，并介绍防火墙功能预设的端口信息。 操作场景 防火墙可以对轻量型云主机的网络访问进行控制，每台轻量型云主机的防火墙默认放行了22端口（SSH服务）、3389端口（windows远程登录）、80端口（http端口）、443（https端口）端口的入方向端口。用户可在此基础上添加其它的防火墙规则，来完善防火墙的安全设置。 操作步骤 1.登录天翼云，进入控制中心。 2.单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3.单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4.进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5.单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 单击“添加规则”弹出添加弹窗，用户需要按照要求进行填写，字段说明如下。 字段名 说明 IP版本 取值：IPV4、IPV6，单选，必填。 方向 取值：入方向、出方向，单选必填。 授权策略 取值：允许、拒绝，单选，必填。 协议 取值：ANY、TCP、UDP、ICMP，单选，必填。 端口范围 取值为介于1到65535之间的数字。如输入错误则输入款变红，下置文字提示：端口范围在 1到 65535之间，必填。 源地址 取值为数字，子网IP地址与子网掩码是否匹配的校验逻辑同云主机，必填。 描述 取值：100个以内字符，选填。如超出字数限制，下置文字提示：请输入100个以内字符。 添加规则： 7. 完成配置后，单击“确定”，即可完成防火墙规则的添加。

为了更好的采集体验，LTS会不断更新ICAgent版本。当系统提示您有新的ICAgent版本时，您可以按照如下操作步骤进行升级。 云日志服务主机管理界面仅支持升级安装在Linux环境中ICAgent，不支持升级Windows环境中的ICAgent。 操作步骤 1. 在云日志服务管理控制台，单击“主机管理”。 2. 单击“主机”切换至主机页签。 3. 选择“普通主机”，在主机列表中选中一个或多个待升级ICAgent前的复选框，单击“升级ICAgent”。 选择“CCE集群”，在右侧下拉框中，选择待升级ICAgent的集群，单击“升级ICAgent”。 说明 首次创建的CCE集群，默认集群下的主机已安装了ICAgent 且上报日志到AOM，采集容器标准输出到AOM的开关处于开启状态；如需将日志上报至LTS则执行升级ICAgent操作时，关闭采集容器标准输出到AOM的开关。建议使用“接入日志 > 云服务接入 > 云容器引擎CCE”直接采集容器标准输出到LTS，不推荐采集到AOM。 CCE集群ID（ClusterID）： 每个集群为固定的ID。 升级ICAgent时，LTS将为您的CCE集群创建对应的日志组和主机组。且该日志组和主机组的名称为k8slog{ClusterID}。您可以创建接入配置（云服务接入>云容器引擎CCE）将当前CCE集群的日志接入到该日志组。 当集群里的主机未安装ICAgent或ICAgent版本过低时，单击“升级ICAgent”操作，可对该集群里的所有主机安装ICAgent。 4. 在“升级ICAgent”对话框中单击“确定”。 ICAgent开始升级，升级ICAgent预计需要1分钟左右，请耐心等待。待ICAgent的状态由“升级中”变为“运行”时，表示升级成功。 说明 如果升级后，界面显示ICAgent状态异常或者其它升级失败场景，请直接登录节点使用安装命令重新安装ICAgent即可（覆盖式安装，无需卸载操作）。

选择协议类型 提供基于四层协议和七层协议的负载均衡，在负载均衡器中通过加监听器选择相应的协议。 使用四层协议的负载均衡，监听器收到访问请求后，将请求直接转发给后端主机。转发过程仅修改报文中目标IP地址和源IP地址，将目标地址改为后端云主机的IP地址，源地址改为负载均衡器的IP地址。四层协议连接的建立，即三次握手是客户端和后端主机直接建立的，负载均衡只是进行了数据的转发。 使用七层协议的负载均衡，也称为“内容交换”。监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段，进行数据的转发。监听器收到访问请求后，先代理后端主机和客户端建立连接（三次握手），接收客户端发送的包含应用层内容的报文，然后根据报文中的特定字段和流量分配策略判断需要转发的后端主机。此场景中，负载均衡类似一个代理主机，分别和客户端以及后端主机建立连接。 后端主机 在使用负载均衡器前，需要先创建ECS实例并部署相关业务应用，然后将ECS实例添加到负载均衡器的后端主机组来处理转发的客户端访问请求。创建后端主机时，请注意以下事项： 确保后端主机实例的所属地域和负载均衡器的所属地域相同。 建议您选择相同操作系统的后端主机实例作为后端主机，以便后续管理和维护。

本文帮助您了解挂载云硬盘相关的操作步骤。 操作场景 创建云硬盘后，需要将云硬盘挂载给云主机或物理机，供云主机或物理机作为数据盘使用。 挂载云硬盘通常分为两种，一种是挂载非共享云硬盘，另一种为挂载共享云硬盘。 挂载非共享云硬盘 约束与限制 非共享云硬盘只可以挂载至1台云主机或物理机。 挂载非共享云硬盘时，挂载的实例需要与此云硬盘位于同一区域下的同一可用区。 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机只允许挂载最多3块极速型SSD云硬盘。 操作步骤 用户可以从云主机与云硬盘两个页面入口进行挂载，具体操作步骤如下： 从云主机页面进行挂载 1.登录控制中心。 2.单击控制中心左上角的，选择地域，此处我们选择华东1。 3.单击选择“计算>弹性云主机”，进入云主机列表页面。 4.单击待挂载云硬盘的弹性云主机名称，进入弹性云主机详情页面。 5.单击“云硬盘”页签，在云硬盘页面中，点击“挂载磁盘”按键，弹出磁盘挂载窗口。 6.在跳转窗口中选择要挂载的云硬盘，点击“确定”，即可为弹性云主机挂载云硬盘，且在云主机的云硬盘详情页面可看到挂载的云硬盘详情信息。

本文主要介绍远程连接Windows云主机报错:您的凭据无法工作怎么处理。 问题描述 Windows操作系统的本地PC，通过RDP协议（如MSTSC方式）远程桌面连接Windows弹性云主机报错，报错显示：您的凭据无法工作，之前用于连接到云主机的凭据无法工作，请输入新凭据。 处理方法 请按照以下步骤依次排查，并在每一个步骤执行完后重新连接Windows云主机验证问题是否解决，如未生效请继续执行下一步骤。 步骤一：修改网络访问策略 步骤二：修改凭据分配 步骤三：设置本地主机的凭据 步骤四：关闭云主机密码保护共享 步骤一：修改网络访问策略 1.使用管理控制台VNC方式登录云主机。 2.打开“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 图 gpedit.msc 3.选择“计算机配置 < Windows设置 < 安全设置 < 本地策略 < 安全选项”，打开“网络访问：本地帐户的共享和安全模型”。 图 打开网络访问策略 4.选择“经典 对本地用户进行身份验证，不改变其本来身份”，单击“确定”。 图 修改网络访问策略

本文介绍如何处理“不小心将CentOS根目录权限设置成777”的问题。当您出现类似问题时可参考本文。 问题描述 当您不小心执行了chmod R 777 /命令，导致CentOS云主机根目录以及下边的所有文件权限均被设置成了对所有用户都是可读、可写和可执行的。本文操作介绍如何修复该问题，但为了避免安全风险，建议您在进行完操作后立即备份数据并重装系统。 操作步骤 以下操作在CentOS8.0操作系统中进行了测试验证。 1. 不要退出故障云主机，在故障云主机上执行以下命令，修改ssh以及su相关的文件权限。 cd /etc chmod 644 passwd group shadow chmod 400 gshadow cd /etc/ssh chmod 600 moduli sshkey chmod 644 sshconfig ssh.pub chmod 640 R sshdconfig sshconfig.d chmod 711 /var/empty/sshd chmod u+s 'which su' 2. 执行systemctl status sshd 查看sshd状态，如果为错误状态，请查看错误原因，修改相关文件权限，直到sshd状态正常，然后进入下一步。 3. 创建一台权限正常的临时云主机：Linux操作系统，内核版本与故障云主机相同。 4. 执行以下命令，将所有文件的权限记录下来。 getfacl R / >systemp.bak 5. 使用scp命令将systemp.bak文件上传到故障云主机中，或者在故障云主机中下载该文件。 6. 在故障云主机中进行权限恢复操作。 setfacl restoresystemp.bak 7. 执行reboot命令重启操作系统。绝大多数系统文件的权限已经被恢复，但为了安全，请及时备份数据并重装系统。

GPU云主机支持包年包月和按量计费（部分资源池支持）两种计费模式。本节为您介绍按量计费模式。 适用场景 按需付费是一种灵活的计费模式，适用于需要灵活调整资源、业务不稳定或资金有限的场景。在选择计费模式时，应结合业务需求和实际情况来做出合适的选择。 收费方式 一种后付费模式，即先使用再付费。 收费项 云主机收费项：CPU、内存、GPU 云硬盘收费项：存储容量、存储类型 公网带宽收费项：带宽大小 关机计费规则 目前采用的关机规则： 在云主机开通期间，如果用户主动执行了关机操作（含普通关机和节省关机），在云主机关机状态下不会收取CPU、内存、GPU、本地盘的费用，其他关联资源继续计费。 计划修改为新规则，新规则生效时间以产品公告为准： 针对非本地盘型的云主机，两种关机模式的收费情况如下： 关机模式 是否继续收费 普通关机 各项资源均保留且正常计费 节省关机 计算资源（CPU、内存、GPU）被回收且不再收费。其余资源如系统盘、数据盘、带宽、流量包仍正常计费。 针对本地盘型云主机，关机期间依旧保留其基础资源（CPU、内存、本地盘），且在关机期间继续对云主机实例采用按量计费： 关机模式 是否继续收费 普通关机 各项资源均保留且正常计费 注意 若选择节省关机模式，当您对此类型的弹性云主机重新开机时，可能会因资源不足导致云主机实例无法正常启动。介于此类情景，请您根据自身业务使用情况，及时调整业务策略。

步骤二：变更云主机规格 变更资产规格完成后，还需要再变更搭载堡垒机的云主机规格。 云主机对应规格详情请见云堡垒机（原生版）计费模式。 云主机升配规格请参见弹性云主机变更规格。

服务名称 镜像服务与其他服务的关系 相关内容 弹性云主机、物理机 通过镜像创建弹性云主机/物理机，或者使用云主机/物理机作为镜像源创建镜像。 云硬盘 可以通过云主机上挂载的数据盘创建数据盘镜像，数据盘镜像可用来创建新的云硬盘。 云主机快照 可以使用已有的云主机快照创建系统盘镜像。 对象存储服务 镜像保存在对象存储中，上传外部镜像文件或者导出私有镜像时均通过对象存储服务的桶来存储。

本文主要介绍登录节点。 约束与限制 SSH方式登录时要求该节点（弹性云主机 ECS）已绑定弹性公网IP。 只有运行中的弹性云主机才允许用户登录。 Linux操作系统用户名为root。 登录方式概述 登录节点（弹性云主机ECS）的方式有如下两种： 管理控制台远程登录（VNC方式） 未绑定弹性公网IP的弹性云主机可通过管理控制台提供的远程登录方式直接登录。 详细操作请参考：Linux云主机远程登录（VNC方式）。 SSH方式登录 仅适用于Linux弹性云主机。您可以使用远程登录工具（例如PuTTY、Xshell、SecureCRT等）登录弹性云主机。如果普通远程连接软件无法使用，您可以使用云主机ECS管理控制台的管理终端连接实例，查看云主机操作界面当时的状态。 说明 SSH方式登录包括SSH密钥和SSH密码两种方式。 本地使用Windows操作系统登录Linux节点时，输入的镜像用户名（Autologin username）为：root。 CCE控制台不提供针对节点的操作系统升级，也不建议您通过yum方式进行升级，如果您在节点上通过yum update升级了操作系统，会导致容器网络的组件不可用。

版本推荐 用于测试、个人用户防护主机帐户安全， 可使用基础版（无数量限制，只支持部分功能的检测能力，不支持防护能力，不支持等保认证），基础版按需模式支持30天免费体验使用。 如果您有等保二级认证的需求，需购买企业版 ；如有等保三级认证的需求，需购买旗舰版 ；如有网站过等保认证的需求，则需购买网页防篡改版。 若您使用的主机涉及重要资产或者高风险情况，建议购买旗舰版或者网页防篡改版 ，例如：对外暴露EIP、保存有关键资产、存在数据库等。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，主要部署在网站或者应用的主机上， 推荐使用网页防篡改版 。 有镜像安全、容器运行时安全需求，以及需要满足等保合规的容器化部署业务的用户， 推荐使用容器安全 。 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷， 建议您的云上主机全部署主机安全服务 。 购买企业版选择“按需计费”模式时，当ECS关机后，主机安全将停止计费。

本节介绍了远程登录(VNC方式Linux)的操作场景、约束与限制、登录Linux弹性云主机、后续处理等内容。 操作场景 本节为您介绍如何通过控制台提供的远程登录功能（即VNC方式）登录到弹性云主机上。 登录成功后，如需使用VNC界面提供的复制、粘贴功能，请参见后续处理。 说明 对于“密钥对”方式创建的Linux弹性云主机，如需使用控制台提供的“远程登录”功能（VNC方式），需先使用“SSH密钥方式”登录，并设置密码，然后才能使用VNC方式登录。 约束与限制 当前提供的远程登录功能是通过系统配置的自定义端口进行访问的，所以在使用远程登录功能时，请确保需要使用的端口未被防火墙屏蔽。例如：远程登录的链接为“xxx:8002”，则需要确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置该本地代理的防火墙端口，请关闭代理模式后再使用远程登录功能。 登录Linux弹性云主机 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表中的右上角，输入弹性云主机名、IP地址或ID，进行搜索。 4. 在搜索到的弹性云主机的“操作”列下，单击“远程登录”。 5. （可选）如果界面提示“Press CTRL+ALT+DELETE to log on”，请单击远程登录操作面板上方的“发送 CtrlAltDel”按钮进行登录。 说明 请勿使用物理键盘按“CTRL+ALT+DELETE”，该操作不生效。 6. （可选）登录G1型弹性云主机时，远程登录界面上无法显示鼠标。此时，需单击远程登录操作面板上方的“本地鼠标”按钮，鼠标就可以正常显示了。 图 本地鼠标 7. 根据界面提示，输入弹性云主机的密码。

ECS/EBM实例要求 ECS/EBM实例需满足以下要求方可制作自定义镜像： 1. 强烈建议使用新订购的实例，以确保包含天翼云最新的补丁修复。 2. 实例计费方式支持包周期或按量付费，从成本角度推荐选用按量付费类型。 3. 创建实例时需绑定弹性IP，确保实例具备外网访问能力。 4. 云主机实例需配置可用的yum源。 自定义镜像操作步骤 以下以基于ECS创建自定义镜像为例说明自定义镜像制作流程： 1. 登录天翼云控制台。 2. 在左侧导航栏选择“弹性云主机”。 3. 在页面顶部选择目标资源所在地域。 4. 单击“创建云主机”按钮，具体操作可参考创建弹性云主机。如需创建物理机镜像，需先创建物理机，流程参考创建物理机。 5. 云主机或物理机创建完成后，登录实例并将自定义脚本上传至root目录。各操作系统对应的脚本下载路径如下： CTyunOS23.01（支持x86和arm64云主机、弹性裸金属）、CTyunOS2.0.1（支持x86和arm64云主机、弹性裸金属）、Centos7.9（仅支持x86云主机、弹性裸金属）: 下载路径： Ubuntu18.04（仅支持x86云主机）、Ubuntu20.04（仅支持x86云主机）、Ubuntu22.04（仅支持x86云主机）： 下载地址： Anolis8.4（仅支持x86云主机）: 下载地址： UnitechOSV20（支持x86和arm64云主机）: 下载地址： KylinV10SP3（支持x86和arm64云主机）: 下载地址： openEuler22.03（支持x86和arm64云主机）: 下载地址： 6. 解压脚本后进入对应目录，按需执行以下命令： 制作云主机镜像：bash startup.sh 制作云主机GPU镜像：bash startup.sh gpu 制作裸金属主机镜像：bash setup.sh baremetal 制作裸金属GPU主机镜像：bash setup.sh baremetal gpu 7. 脚本执行成功后删除脚本文件，并关机。 8. 在左侧导航栏选择“镜像服务”，单击“创建私有镜像”，选择已创建的云主机生成镜像。 注意 基于裸金属主机创建的镜像仅限同可用区（AZ）使用，不跨资源池。例如，若裸金属主机创建于华东1的AZ1，则生成的镜像也仅存在于华东1的AZ1，不会自动同步至该地域的其他可用区。如需将镜像同步至其他可用区，需提交工单处理，且同步后镜像名称保持不变。例如，AZ1中名为“Ctyun”的镜像同步到AZ2后，在AZ2中的镜像名称仍为“Ctyun” 9. 完成制作后，可在私有镜像列表查看镜像。 点击镜像名称可查看详细信息，如下图所示：

本章介绍主机迁移服务的基本使用流程。 本章介绍主机迁移服务的基本使用流程。 图 主机迁移服务使用流程

资产概览 呈现资产状态和清点情况。 表12 资产概览功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 资产概览 所有主机的资产状态、清点情况统计，包括Agent状态、防护状态、配额状态、资产指纹等。 √ √ √ √ √ √ Linux、Windows 实时检测 主机管理 功能支持按照主机维度查看和管理目标服务器。 表13 主机管理功能 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 主机管理 所有主机资产管理，包含主机的防护状态、配额绑定、策略分配等，提供Linux主机的批量安装agent功能。 √ √ √ √ √ √ Linux、Windows注：批量安装Agent仅支持Linux 容器管理 功能支持按照容器维度查看和管理目标服务器。 表14 容器管理功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 容器管理 容器节点管理，容器镜像（私有镜像仓库、本地镜像）管理。 × × × × × √ Linux

名词 说明 负载均衡服务 天翼云提供的一种网络负载均衡服务，提供四层和七层负载均衡服务。 负载均衡实例 负载均衡实例是一个运行的负载均衡服务。要使用负载均衡服务，必须先创建一个负载均衡实例。 监听器 监听器负责监听负载均衡器上的请求，规定了如何将请求转发给后端云主机处理。 后端服务器组 一组处理负载均衡分发的前端请求的云主机实例。 后端服务器 处理前端请求的云主机实例。 弹性公网带宽 弹性公网带宽是指对外提供服务，可以访问网络，网络其他计算机可以访问主机的流量。 负载均衡器协议/端口 指协议支持四层的TCP和七层的HTTP。端口可根据业务需求在165535 范围内任意设定。如需要使用80、8080、443、8443备案端口，请提前进行备案。4个备案端口默认是关闭状态，备案完成后将开通。 云主机协议/端口 用于指定与负载均衡绑定的云主机的协议及端口，协议支持四层的TCP和七层的HTTP。端口可根据业务需求在165535范围内任意设定。云主机端口不受备案限制。 会话保持 用户可以选择打开或关闭会话保持功能。如果打开会话保持，针对7层（HTTP）服务，提供基于Cookie的会话保持；针对4层（TCP）服务，提供基于IP地址的会话保持。 健康检查 健康检查用于检查后端主机的状态。用户可自定义健康检查方式和频率，负载均衡根据预设的健康检查规则定时检查后端云主机是否正常运行，一旦检测到云主机为非健康状态，则不会将访问流量分派到这些非健康云主机实例。 负载方式 负载方式即负载均衡算法，支持轮询、最小连接数和源地址三种算法。 轮询算法 轮询算法是依据后端主机的权重，将请求轮流发送给后端云主机，常用于短连接服务，例如HTTP等服务。 最小连接数算法 最小连接数算法是优先将请求发给拥有最小连接数的后端云主机，常用于长连接服务，例如数据库连接等服务。 源算法 源算法是将请求的源地址进行hash运算，并结合后端的云主机的权重派发请求至某匹配的云主机，这可以使得同一个客户端IP的请求始终被派发至某特定的云主机。该方式适合负载均衡无Cookie功能的TCP协议。 默认配额 默认配额是指每个用户在每个区域节点资源的数量，如默认配额无法满足用户需求，可通过控制台申请调整配额。

方向 类型和协议端口 源地址/目的地址 规则用途 入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的SSH(22)端口，用于远程登录Linux云主机。 入方向 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的RDP(3389)端口，用于远程登录Windows云主机。 入方向 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的HTTP(80)端口，用于通过HTTP协议访问网站。 入方向 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的HTTPS(443)端口，用于通过HTTPS协议访问网站。 入方向 TCP : 2021 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云主机的FTP(20和21)端口，用于远程连接云主机上传或者下载文件。 入方向 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议，允许外部所有IP访问安全组内云主机的所有端口，用于通过ping命令测试云主机的网络连通性。 出方向 全部(IPv4) 全部(IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云主机可访问外部任意IP和端口。

NAT网关产品广泛应用云上VPC公网统一出口和面向Internet提供公网服务场景,本文带您更快了解NAT网关经典应用场景。 公网NAT网关 应用场景一：云上网络入口，面向Internet提供服务 场景说明 当VPC内的云主机需要面向公网提供服务时，可以使用NAT网关的DNAT功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络安全。 推荐配置 DNAT功能绑定弹性IP，可通过端口映射方式，NAT网关会将会把访问该弹性IP的请求转换成指定的IP和端口转发到目标云主机实例上。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。实现多个云主机共享弹性IP和带宽，精确的控制带宽资源，节省公网带宽资源。 组网架构 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机、物理机的任何一个。例如： 弹性IP1的80端口，映射到云主机ECS 1的10080端口。 弹性IP1的8080端口，映射到云主机ECS 2的20080端口。 弹性IP2的443端口，映射到云主机ECS 3的30443端口。

步骤二：排查是否开启健康检查 通过“监听器 > 后端主机组”查看是否开启了健康检查选项。 当客户端直接访问后端云主机业务正常时，请检查负载均衡器是否开启了健康检查。当云主机开启了健康检查，而健康检查失败时，负载均衡器不会向此后端云主机转发流量。 如未开启健康检查，共享型负载均衡实例请检查后端云主机的安全组和网络ACL规则已经放通100.125.0.0/16网段。独享型负载均衡请检查后端云主机的安全组已经放通ELB后端子网所在的VPC网段。 注意 共享型实例四层监听器开启“获取客户端IP”功能后，后端云主机安全组规则和网络ACL规则均无需放通100.125.0.0/16网段及客户端IP地址。 独享型负载均衡四层监听器未开启“跨VPC后端”功能时，后端云主机安全组规则和网络ACL规则均无需放通ELB后端子网所在的VPC网段。 步骤三：排查健康检查是否正常 通过“监听器 > 后端主机组”查看云主机的健康检查结果是否为正常。健康检查异常的情况下，负载均衡不会向这台云主机转发流量。 当服务器开启了健康检查，而健康检查失败时，负载均衡器不会向此后端云主机转发流量。

本文主要介绍如何创建伸缩配置。 伸缩配置用于定义伸缩组资源扩展时的云主机的规格。包括云主机的操作系统镜像、系统盘大小等。 创建伸缩配置的入口： 在创建伸缩组时，创建相应的伸缩配置或使用已有的伸缩配置。 在伸缩实例页面创建所需的伸缩配置。 在伸缩组详情页更换伸缩配置。 创建伸缩配置的两种方式： 使用已有弹性云主机快速创建伸缩配置： 当您已有云主机时，您可以使用已有的弹性云主机快速创建伸缩配置，创建配置时，vCPU、内存、镜像、磁盘和云主机类型参数信息将默认与选择的云主机规格保持一致，详细内容请参考使用已有云主机创建伸缩配置。 使用新模板创建一个全新的伸缩配置： 若您对扩展的云主机的规格有特殊的要求，可通过使用新模板创建伸缩配置，可按照您的需求配置新模板的规格参数，详细内容请参考使用新模板创建伸缩配置。

本章节介绍云主机内存高负载故障演练。 背景介绍 当云主机的内存被异常占用（例如，由应用内存泄漏、缓存数据无限制膨胀或资源配额不足引起），其内存使用率会飙升。一旦可用内存耗尽，系统可能会频繁进行内存交换，甚至触发 OOM Killer（OutOfMemory Killer）来强制终止进程，导致服务中断。本演练模拟内存资源被持续占用的高负载场景，帮助您检验系统的内存监控告警、评估应用的内控管理能力，并验证 OOM Killer 触发时的系统行为。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：取值范围为0100。注意：设置过高的占用率可能出现无法自动恢复的情况，可在云主机控制台操作重启机器恢复。

步骤二：添加后端主机组 添加处理前端请求的后端主机组。 前提条件：您已经创建了弹性云主机，具体操作可参考创建弹性云主机。 1. 设置后端主机组名称。 2. 选择后端主机类型，可选云主机。 3. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：参考HTTPS监听器负载方式&健康检查配置说明, 完成负载方式和健康检查配置。完成步骤三后，点击【立即创建】，完成HTTP监听器创建。 HTTPS监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数。 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTPS协议的会话保持方式如下： 重写Cookie/植入Cookie。 植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。 重写Cookie（APPCOOKIE）：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机。 选择植入Cookie时，可设置会话保持超时时间。缺省3600s。 选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s。 超时时间 健康检查超时时间，缺省2s。 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’ HTTP方法 可选GET或HEAD。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本节介绍了弹性云主机的续订流程。 1．登录管理控制台。 2．单击管理控制台左上角的 ，选择地域和项目。 3．选择“计算 > 弹性云主机”，进入弹性云主机页面。 4．在将要超期的弹性云主机的“操作”列下，单击“更多 >续费”，进入“续订”界面。 5．点击“确定提交”。

手动修复系统软件漏洞 进入到漏洞的基本信息页，可根据修复建议修复主机中已经被识别出的漏洞，漏洞修复命令可参见表。 不同的漏洞请根据修复建议依次进行修复。 若同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 说明 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则HSS仍可能为您推送漏洞消息。 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update软件名称 Debian/Ubuntu aptget update && aptget install软件名称onlyupgrade Gentoo 请参见漏洞修复建议。 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 1、为需要修复漏洞的ECS主机创建镜像。 2、使用该镜像创建新的ECS主机。 3、在新启动的主机上执行漏洞修复并验证修复结果。 4、确认修复完成之后将业务切换到新主机。 5、确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 1、为需要修复漏洞的ECS主机创建备份。 2、在当前主机上直接进行漏洞修复。 3、如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态。 说明 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换计费模式。如果漏洞修复不成功可以随时释放以节省开销。 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。 漏洞忽略 某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。 忽略后，主机安全服务将不会对该漏洞告警。 修复验证 漏洞修复后，建议您立即进行验证。 手动验证 通过漏洞详情页面的“验证”，进行一键验证。 执行以下命令查看软件升级结果，确保软件已升级为最新版本。 验证修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle rpm qa Debian/Ubuntu dpkg l Gentoo emerge search软件名称 自动验证 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复效果。

本章节介绍了云主机备份产品的基本概念,包括备份,策略,增强备份,即时恢复,应用一致性等。 备份策略 备份策略指的是对备份对象执行备份操作时，预先设置的策略，策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率，备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 备份 备份即一个备份对象执行一次备份任务产生的备份数据，包括备份对象恢复所需要的全部数据。备份可以通过一次性备份和周期性备份两种方式产生。 云主机备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 一次性备份的备份名称支持用户自定义，也可以采用系统自动生成的名称。一次性备份产生的备份名称为“manualbkxxxx”。 周期性备份的备份名称由系统自动生成。周期性备份产生的备份名称为“autobkxxxx”。 即时恢复 即时恢复支持备份快速恢复云主机数据和备份快速创建镜像，恢复云主机数据和备份创建镜像的时间将大大缩短。 云主机产生的历史备份（特性上线前产生的备份）不支持即时恢复。如需使用即时恢复特性，需要手工执行一次全量备份，同时在创建备份时勾选“全量备份”参数，该全量备份及其后续的增量备份方可支持即时恢复。在即时恢复特性上线前未进行过备份的云主机，在特性上线后在创建手动备份时无需勾选“全量备份”参数，产生的备份即支持即时恢复特性。 产生过历史备份或未进行过备份的云主机，在特性上线后创建成功的自动备份，不支持即时恢复特性。如需使用即时恢复特性，仍需手工执行一次全量备份。

操作场景 本节将以使用"Microsoft Remote Desktop for Mac"工具远程连接到运行"Windows Server 2012 R2 数据中心版 64位"操作系统的云主机为例，介绍如何在Mac OS系统上登录Windows云主机的操作步骤。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 已在Mac OS系统上安装了Microsoft Remote Desktop for Mac或其他适用于Mac OS系统的远程连接工具。您可以下载Microsoft Remote Desktop for Mac。 注意 请注意，微软官方已停止提供Remote Desktop客户端的下载链接，您可以尝试下载 操作步骤 1. 启动Microsoft Remote Desktop应用。 2. 点击"Add Desktop"（添加桌面）。 3. 在"Add PC"（添加计算机）页面，进行登录信息的设置。 PC name（计算机名称）：输入要登录的Windows实例的弹性IP地址。 User account（用户账户）：从下拉列表中选择"Add user account"（添加用户账户），然后弹出"Add user account"对话框。 在"Add user account"对话框中，输入Windows实例的用户名（例如"administrator"）和登录密码，然后点击"Add"（添加）。 4. 在"Remote Desktop"页面，双击要登录的Windows实例的图标。 5. 确认信息后，点击"Continue"（继续）。

添加安全组规则 安全组中的入方向规则默认开启了22端口，当云主机的SSH登录端口修改为5000时，需要为安全组新加一条规则。 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，进入云主机控制台。 3.单击云主机名称“ecsf5a2”进入详情页面。 4.选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 5.添加一条入方向规则，如下图所示。 图 安全组规则 编辑hosts.allow和hosts.deny “/etc/hosts.allow”和“/etc/hosts.deny”是控制远程访问的文件，通过配置该文件可以允许或者拒绝某个IP或者IP段的客户访问Linux云主机的某项服务。 比如SSH服务，通常只对管理员开放，那我们就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。 因为云主机需要在不同地点登录，建议编辑“/etc/hosts.allow”允许所有IP地址登录，这样不会影响正常使用。 vim /etc/hosts.allow 在最后一行增加“sshd:ALL”。 我们可以通过一些方法识别云主机的安全风险，比如检查SSH状态，查看疑似恶意登录的IP，然后在“/etc/hosts.deny”中将这些地址禁止。

云主机备份产品广泛应用于多种场景,本文带您更快了解云主机备份的经典应用场景。 云主机备份是一种非常重要的数据保护和恢复措施，适用于政府、金融等对数据安全性要求较高的客户，可以在各种场景下快速恢复数据，防止因意外、事故、黑客攻击或病毒入侵等导致的数据丢失。 场景说明 受黑客攻击或病毒入侵场景：在面临黑客攻击或病毒入侵的情况下，通过备份，可以立即恢复到最近一次没有受到黑客攻击或病毒入侵的备份时间点。这将消除黑客或病毒对数据和系统造成的损害，让系统恢复到正常运行状态，同时避免进一步扩散和数据丢失。 数据误删场景：数据误删是一个常见但严重的问题，通过云主机备份，可以迅速找回被删除的数据。备份允许立即恢复到删除前的备份时间点，确保数据的完整性和可用性，从而避免因误操作而导致的数据丢失或业务中断。 云主机宕机场景：当云主机遭遇宕机时，业务可能会受到严重影响。通过备份，可以迅速恢复到宕机之前的备份时间点，使云主机能够再次正常启动。这将减少业务中断时间，恢复服务，并降低损失的可能性。