本文介绍了如何在天翼云上使用弹性云主机的Linux实例部署Docker 简介 表 Docker相关术语 术语 解释 Docker Docker是开发人员和系统管理员使用容器开发、部署和运行应用程序的平台。 镜像 Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。 镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。 容器可以被创建、启动、停止、删除、暂停等。 该指导以“CentOS 7.5 64 3.10.0862.9.1.el7.x8664”操作系统为例，Docker要求64位的系统且内核版本至少为3.10。 前提条件 弹性云主机需要绑定弹性公网IP。 弹性云主机所在安全组添加了如下表所示的安全组规则。 表 安全组规则 方向 类型 协议 端口/范围 远端 入方向 IPv4 TCP 80 0.0.0.0/0 部署Docker 1.登录弹性云主机。 2.添加yum源。 yum install epelrelease y yum clean all 3.安装yumutil。 sudo yum install y yumutils devicemapperpersistentdata lvm2 4.设置docker yum源。 sudo yumconfigmanager addrepo 5.安装并运行Docker。 sudo yum install dockerce systemctl enable docker systemctl start docker 6.检查安装结果。 docker version 回显如下类似信息，表示Docker安装成功。 Client: Docker Engine Community Version: 19.03.13

本文汇总了使用虚拟私有云产品时常见的使用安全类问题。 弹性云服务器加入安全组过后能否变更安全组？ 可以。进入弹性云服务器详情界面，在网卡下拉窗口选择更改安全组。 一个用户能拥有多少个安全组？ 一个用户最多可以拥有100个安全组，5000条安全组规则。 创建弹性云服务器时，可以选择多个安全组（建议不超过5个）。 一个用户可以拥有多少个网络ACL？ 一个用户最多可以拥有200个网络ACL，每个网络ACL出方向或入方向建议最多创建20条规则，超过20条会影响转发性能 。 变更安全组规则和网络ACL规则时，是否对原有流量实时生效？ 安全组是有状态的，即无论安全组入方向的规则如何，都允许对出方向流量的响应流入实例，反之亦然。安全组使用连接跟踪来跟踪有关进出实例的流量信息，在安全组规则增加、删除、更新时，或者该安全组下实例创建、删除时，会自动清除该安全组下所有实例入方向的连接跟踪，此时，流入或流出实例的流量会被当做新的连接，需要重新匹配相应入方向或出方向的安全组规则，以保证规则能立即生效，从而保障流入实例的流量的安全。 网络ACL规则配置变更，对于原有流量不会立刻生效。用户需断开变更规则所影响的流量一段时间（约120秒）后，变更后的规则才能对流量生效。如要确保流量在变更规则时能立即中断，建议使用安全组进行安全策略配置。

本章节主要向您介绍如何删除安全组与安全组规则。 删除安全组 操作场景 当您的安全组不需要使用时，您可以删除不需要的安全组。 约束与限制 系统自带的默认安全组不能删除，默认安全组名称为default。 当安全组已关联至其他服务实例时，比如云主机、云容器、云数据库等，此安全组无法删除。请您将实例从安全组中移出后，重新尝试删除安全组。 当安全组作为“源地址”或者“目的地址”，被添加在其他安全组的规则中时，此安全组无法删除，需要删除该条规则或修改规则，然后重新尝试删除安全组。 比如，安全组sgB中有一条安全组规则的“源地址”设置为安全组sgA，则需要删除或者更改sgB中的该条规则，才可以删除sgA。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，选择目标安全组所在行的操作列下的“更多 > 删除”，弹出删除确认对话框。 3. 根据界面提示完成确认，确认无误后单击“确定”，删除安全组。 删除安全组规则 操作场景 当您不需要通过某条安全组规则控制流量流入/流出安全组内实例时，您可以删除安全组规则。 约束与限制 当您删除安全组规则前，请您务必了解该操作可能带来的影响，避免误删除造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。

本文分别为您介绍Windows云主机和Linux云主机如何搭建FTP。 Windows云主机 添加IIS以及FTP服务角色 1. 登录弹性云主机。 2. 选择“开始 > 服务器管理器”。 3. 单击“添加角色和功能”。 4. 在弹出的“开始之前”对话框中，单击“下一步”。 5. 选择“基于角色或基于功能的安装”，单击“下一步”。 6. 选择需要部署FTP的服务器，单击“下一步”。 7. 选择“ Web服务器（IIS）”，并在弹出的对话框中单击“添加功能”，然后单击“下一步”。 8. 连续单击“下一步”，到“角色服务”页面。 9. 选择“FTP服务器” 以及“IIS管理控制台”，单击“下一步”。 10. 单击“安装”，开始部署服务角色。 11. 安装完成后，单击“关闭”。 创建FTP用户名及密码 创建Windows用户名和密码，用于FTP使用。如果您希望匿名用户可以访问，可以不创建FTP用户和密码。 1. 在“服务器管理器”中，选择“仪表板 > 工具 > 计算机管理”。 2. 选择“系统工具 > 本地用户和组 > 用户”，在右侧空白处右击，并选择“新用户”。 3. 设置“用户名”和“密码”，此处用户名以“ftpadmin”为例。

（二）十字符病毒 1. 故障现象 名称由随机10字符组成的进程，运行时占用大量CPU资源，伴有网络流量较大、占满带宽的现象，无法通过kill命令终止该进程。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，同时查看计划任务、启动脚本等，排查是否存在可疑文件，并根据文件内容确认恶意脚本程序。 3. 排查过程 查看进程列表，确认占用CPU资源的主要进程。 由于病毒通常具有自动运行机制，因此常常藏身于计划任务中。查系统计划任务中是否存在可疑脚本，并对脚本进行进一步分析核查，可确认系统被感染病毒，病毒本体是/lib/libudev.so。 4. 解决方法： 终止病毒进程（强制终止该进程后，病毒程序还会自动拉起一个新的进程运行。 删除恶意程序脚本。 杀掉病毒进程。 清理计划任务内容。 删除病毒本体。 检查开机自启动项等内容，彻底清理病毒痕迹。 三，系统加固操作建议 针对Linux云主机，建议您绑定Linux开放22端口安全组，移除默认安全组，单独开放需要的端口，使用复杂密码并定期更换，同时定期对您的云主机制作私有镜像，操作方法请参考下列文档： 安全组概述 实例加入/移出安全组 配置安全组规则 修改云主机默认远程端口 通过云主机创建Linux系统盘镜像

本章节介绍云原生网关的全局插件 概述 全局插件可应用于整个网关实例，对所有API路由都生效，目前云原生网关提供了6种全局插件。 查看全局插件配置列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 全局插件 ，可查看全部插件和已启用插件配置列表； 查看全局插件详情 操作步骤 1. 全部插件中展示了目前云原生网关所提供的全局插件列表； 2. 点击插件图标进入插件详情页，展示插件的基本信息，使用引导页面上展示详细的配置属性； 编辑全局插件配置 操作步骤 1. 从全部插件页面点击插件图标进入插件详情页； 2. 插件配置页面展示了当前插件的配置模板； 3. 点击编辑按钮，可对该插件的配置进行编辑修改； 4. 编辑完成后，点击保存按钮，即可保存该插件配置； 5. 若要放弃配置更改，可点击取消按钮； 6. 也可进入已开启插件页面，查看目前正在生效的插件配置，对已开启插件配置进行编辑； 启停全局插件配置

本文主要介绍云日志服务中查询分析Nginx访问日志。 云日志服务LTS支持采集Nginx日志，并进行多维度查询。本文介绍分析网站访问情况、异常和重要场景告警的分析案例。 背景信息 Nginx是一款主流的网站服务器，当您选用Nginx搭建网站时，Nginx日志是运维网站的重要信息。 云日志服务支持通过数据接入向导一站式采集Nginx日志，您还可以使用云日志服务的查询分析语句，分析网站的延时情况，及时调优网站。针对性能问题、服务器错误、流量变化等重要场景，您还可以设置告警，当满足告警条件时给您发送告警信息。 前提条件 根据配置向导，创建对应的日志单元、安装采集器、配置采集规则，生成日志字段。 可以使用正则表达式来分割这个Nginx访问日志行。用户可以输入日志样例预览匹配结果，并为匹配结果进行字段命名 操作步骤 完成上述步骤后，采集器将开始在指定的主机组中进行日志采集，并将采集的日志信息展示在控制台上。用户点击日志检索之后再点击检索分析，便可以在控制台看到检索到的日志信息。在展示页面上，用户可以根据自己的需求选择不同的展示方式。如对日志进行展开，JSON格式化等操作 样例1：查询IP 192.168.1.100 发过来的请求日志。 样例2：查询IP 192.168.1.100 发过来的GET请求日志。

工作流流程（workflow）定义了业务逻辑描述以及流程执行所需要的通用信息， 例如一个审批权限申请流程可能包含创建审批、处理审批， 通过审批、拒绝审批等。在创建流程（workflow）后， 可以多次触发工作流执行（Execution），每次执行可以设置不同的输入， 例如每次审批的申请人以及审批通过权限的有效时长是不一样的。 同时， 云工作流提供了丰富的控制类状态去描述流程的业务逻辑， 可以串行、并行或者条件执行某些任务，以及针对一类数组数据并行执行一系列任务等。 如何使用工作流 工作流创建 使用工作流，首先需要创建工作流，云工作流支持创建标准和快速两种模式的工作流。创建工作流的核心是完成工作流定义， 工作流定义详细看流程定义介绍。工作流创建可以使用云工作流控制台、OpenAPI等方式进行创建和管理， 详细可看创建工作流。 工作流调用 工作流完成创建后， 可以通过云工作流控制台、OpenAPI等方式触发工作流的执行。 同时也可通过在控制台创建触发器的方式按照事件驱动的方式触发工作流执行。工作流启动后， 工作流会按照流程定义的顺序和规则执行任务， 并按照JSON格式输出工作流执行结果， 同时在控制台工作流执行详情，可以查看工作流执行后各个任务执行的输入输出。详细可看工作流执行。

SSL连接（推荐） 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面， 步骤 5 在“实例信息”模块的“SSL”处，查看SSL开关状态。 开关打开，执行步骤6。 开关关闭，单击，在弹出框中，单击“是”，开启SSL加密。然后执行步骤6。 步骤 6 单击“SSL”处的，下载根证书或捆绑包。 步骤 7 登录Linux系统的弹性云主机。 步骤 8 在弹性云主机上安装MySQL客户端，详情请参见如何安装MySQL客户端。 步骤 9 将根证书上传至需连接TaurusDB实例的弹性云主机，并导入根证书。 请参见将根证书导入Windows/Linux操作系统。 步骤 10 执行如下命令，连接TaurusDB数据库实例。 mysql h P u p sslca 表 参数说明 参数 说明 主机IP，在目标实例的“基本信息”页面，“网络信息”模块的“读写公网地址”。 数据库端口，在目标实例的“基本信息”页面，“网络信息”模块的“数据库端口”。 用户名，即TaurusDB数据库管理员帐号，默认为root。 相应的SSL证书文件，该文件需放在执行该命令的路径下。 示例： 使用root用户SSL连接数据库实例，示例如下： mysql h 10.xx.xx.xx P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本文介绍使用RedisShake工具离线迁移其他云厂商Redis Cluster集群。 RedisShake基本介绍 RedisShake是一个开源的Redis迁移工具，可以用于在线迁移和离线迁移（通过备份文件导入）。 目前 RedisShake 有三种迁移模式：PSync、RDB 和 SCAN，分别对应 syncreader、rdbreader 和 scanreader。主要有以下三种数据迁移场景： 1. 对于从备份rdb中恢复数据的场景，可以使用 rdbreader。 2. 对于数据迁移场景，优先选择 syncreader。 3. 对于全量复制的场景下或者自研集群不支持 PSync 协议情况下，可以使用 scanreader。 当你需要迁移部署在其他云厂商上的 Redis 集群数据时，如果无法进行在线迁移，你可以选择离线迁移的方式。 离线迁移（备份文件导入） 与在线迁移相比，离线迁移适宜于源实例与目标实例的网络无法连通的场景。 1、在DCS控制台创建缓存实例。 注意新创建的Redis实例容量不能小于源端Redis实例的实际使用容量。 2、准备一台云服务器，并安装RedisShake。 RedisShake既能访问源端缓存实例，也能访问目标端DCS 缓存，需要绑定弹性公网IP 3、导出RDB文件。 使用如下命令导出RDB文件： ./rediscli h {redisaddress} p {redisport} a {password} rdb {output.rdb} 执行命令后回显"Transfer finished with success."，表示文件导出成功。 4、将导出的RDB文件（含多个）上传到云服务器上。 5、编辑RedisShake配置文件。 编辑redisshake工具配置文件shake.toml，补充迁移双方信息，及迁移模式。 [rdbreader] filepath "/tmp/dump.rdb" [rediswriter] cluster false

操作场景 开启了云审计服务后，系统开始记录CCE资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面上方的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 步骤 3 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 4 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，事件来源选择“CCE”。 当筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 步骤 4 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图171所示。 图 展开记录 步骤 5 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图172所示，显示了该操作事件结构的详细信息。 图 查看事件

本小节介绍安全专区云数据库审计客户端安装方法。 下载客户端 下载客户端，选择对应的客户端进行下载。 安装步骤 1.下载安装包，根据包中的Agent安装手册提示完成安装及连接配置。 2.填写信息，进行客户端与云数据库审计的连接。 3.在Windows上安装Agent客户端，默认安装即可。 4.执行Agent,选择接收、发送数据包的网卡，并填写相应的信息。 IP地址：云数据库审计管理口地址192.168.0.225； 抓包端口：本地数据库端口，如默认ORACLE端口1521，MSSQL默认1433，MYSQL默认3306，如需添加多个端口，请使用逗号进行分隔； 服务端口：默认云数据库审计设备服务端口，默认9999，请使用默认配置； 缓冲队列个数：缓冲队列大小，使用默认配置即可； 收发网卡：请根据实际情况进行选择，程序支持自动发现功能。 注意 Agent必须要保证始终运行，才能将本地数据库连接信息发送给审计设备，一旦关闭，将不会向审计系统发送本地审计数据，因此请将Agent设置为服务。 5.运行后，如出现如下内容，表示工作，并正常发送数据包。 6.连接成功后，可到【部署方式】，查看已连接到的客户端。 完成以上操作部署后，可在安全专区平台进行日常运营。

本文介绍文档数据库服务的使用限制说明。 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 操作 使用限制 :: 连接DDS实例 通过内网连接DDS实例时，需要为已准备的弹性云主机绑定弹性IP，并确保实例与该弹性云主机在同一个区域、可用区、虚拟私有云子网内。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 该权限下用户需要关注的命令请参见[]( 5.12%E6%94%AF%E6%8C%81%E4%B8%8E%E9%99%90%E5%88%B6%E7%9A%84%E5%91%BD%E4%BB%A4)支持与限制的命令。 配置数据库参数 用户创建的参数组中大部分数据库参数可以修改，具体请参见编辑参数组。 数据迁移 可以通过命令行工具和数据复制服务迁移数据，具体请参见数据迁移[](

本章节向您介绍如何为VPC增加扩展网段。 操作场景 创建虚拟私有云VPC时，您配置的IPv4网段是VPC的主网段。当VPC创建完成后，主网段不支持修改，若主网段不够分配，您可以参考以下操作为VPC添加扩展网段。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 在服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在虚拟私有云列表中，单击目标虚拟私有云所在行的操作列下的“编辑网段”，弹出“编辑网段”对话框。 5. 在“编辑网段”对话框中，单击“添加IPv4扩展网段”。 6. 输入扩展网段，单击“确定”。 约束与限制 创建子网时候，您可以基于主网段或者扩展网段来分配子网网段，但是一个子网网段，要么属于主网段，要么属于扩展网段，不能两个网段混用。 同一个VPC内的子网默认互通，基于主网段的子网和基于扩展网段的子网也是默认互通。 扩展网段的子网地址与VPC路由表中已有路由的目的地址相同或者重叠，会导致已有路由不生效。 在扩展网段中创建子网时，系统会为该子网生成一条目的地址为子网网段，下一跳为Local的路由，Local路由属于VPC内部路由，优先级高于VPC路由表中添加的其他路由。比如，VPC路由表已有某个下一跳为对等连接的路由，其目的地址为100.20.0.0/24；新增扩展网段子网的路由，其目的地址为100.20.0.0/16，100.20.0.0/16和100.20.0.0/24网段重叠，流量优先通过扩展网段子网的路由转发，会导致对等连接的路由失效。 VPC扩展网段支持的掩码范围为328。 不支持添加的扩展网段范围如下表所示。 网段类型 不支持的网段范围 私有网段预留地址 172.31.0.0/16 192.168.0.0/16 主网段已使用的私网网段 系统内部预留地址 100.64.0.0/10 214.0.0.0/7 198.18.0.0/15 169.254.0.0/16 公网保留地址 0.0.0.0/8 127.0.0.0/8 240.0.0.0/4 255.255.255.255/32

日志流（LogStream）是日志读写的基本单位，日志组中可以创建日志流，将不同类型的日志分类存储，方便对日志进一步分类管理。例如，您可以将不同的日志（操作日志、访问日志等）写入不同的日志流，查询日志时可以进入对应的日志流快速查看日志。 1个日志组中最多可以创建100个日志流，不支持扩大配额。如果您的配额已满，无法创建日志流，建议删除不再需要使用的日志流后重试，或者在新的日志组中创建日志流。 前提条件 已创建日志组。 创建日志流 日志流的创建类型分为用户创建（主动）和云服务创建（被动），云服务创建指其他云服务与云日志服务进行系统对接后，系统自动在云日志服务控制台创建的日志流，本操作中日志流的创建类型为用户创建（主动）。 1. 在云日志服务管理控制台，单击日志组名称对应的 按钮。 2. 单击展开页面左上角的“创建日志流”，输入日志流名称，名称需要满足如下要求： 只支持输入英文、数字、中文、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为164个字符。 创建日志流 3. 单击“确定”，完成日志流的创建。 在日志流列表中，可以查看日志流的名称、创建时间和创建类型。 创建完成的日志流

本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

本文为您介绍通过IAM用户控制资源访问的具体操作。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云服务器ECS资源的访问。 操作步骤 创建IAM子用户 具体操作，请参见统一身份认证 IAM。 创建自定义策略 天翼云提供了访问云服务器ECS资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证 IAM。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version标识策略结构的版本号，目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 1. 脚本配置策略示例一：为IAM子用户配置云主机查看者权限。 2. 脚本配置策略示例二：为IAM子用户配置云主机所有操作权限，以及vpc的所有操作权限（代表取所有值）。

本节介绍了在移动设备上登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以“Windows Server 2012 R2 数据中心版 64位”操作系统为例，介绍如何通过Microsoft Remote Desktop客户端登录Windows实例。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 移动设备已安装Microsoft Remote Desktop。 操作步骤 1. 启动RD Client。 2. 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图 Remote Desktop 3. 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − 按以下步骤设置“User name”： i. 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 ii. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“SAVE”。 图 输入登录信息 图 保存填写的登录信息 4. 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图 登录Windows实例 5. 确认信息后，单击“CONNECT”。 图 CONNECT 至此，您已经登录Windows实例。 图 登录成功

本文介绍网站性能测试的最佳实践。 天翼云通用型S6、计算增强型C6 等新一代云主机上提供超高网络性能，您可通过本实践提供的 netperf 和 DPDK 两种网络性能测试方法，进行云主机高吞吐网络性能测试。 推荐选择 netperf 方法进行测试，netperf 为通常使用的测试方法，可满足大多数测试场景。但当云主机配置较高（pps 超过1000万且带宽大于50Gbps）时，netperf包含云主机机内核协议栈的完整处理路径对网络性能损耗较大，而 DPDK 可屏蔽虚拟机内核协议栈的差异，获取虚拟机网卡的网络性能，此时可选择 DPDK 方法进行测试。 netperf测试 工具介绍 Netperf HP 开发的网络性能测量工具，主要测试 TCP 及 UDP 吞吐量性能。测试结果主要反应系统向其他系统发送数据的速度，以及其他系统接收数据的速度。 SAR 用于监控网络流量，运行示例如下： plaintext sar n DEV 1 02:41:03 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:04 PM eth0 1626689.00 8.00 68308.62 1.65 0.00 0.00 0.0002:41:04 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.0002:41:04 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:05 PM eth0 1599900.00 1.00 67183.30 0.10 0.00 0.00 0.0002:41:05 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 sar n DEV 1：该命令每秒钟报告一次网络设备的性能统计信息

加载logging.ini配置 此操作是用于加载logging.ini 配置文件,文件处于handler 目录下。加载这份配置才能够使用后续功能。 plaintext logging.config.fileConfig("../handler/logging.ini") 获取logger 实例：root 此操作是用于使用原生的logger 功能，即不将logger日志上传到云日志服务。其中root参数可以省略。 plaintext logger logging.getLogger() 下面这个格式也生效 logger logging.getLogger('root') logger 使用 logger.info("log message,level:info") 获取logger 实例：synclogging 此操作是使用同步单线程的形式将logger日志上传到云日志服务(同时也会输出到控制台)，这种方式调用logger生成一条日志，就会发送一次http请求将日志上传。这种方式简单，但当调用频率很高时，会出现阻塞情况，发送效率不高。 plaintext logger logging.getLogger('synclogging') logger.info("sync log message 1,level:info") logger.info("sync log message 2,level:info") logger.info("sync log message 3,level:info") 获取logger 实例：asynclogging 此操作是使用异步批量多线程的形式将logger日志上传到云日志服务(同时也会输出到控制台)，这种方式调用logger生成一条日志后，会发送到一个日志累加器内，当日志累加器的日志量超过预设的大小或条数，或者等待指定时间后，日志累加器的日志会被打包成一个任务，然后开启一个线程将这些日志一次批量发送到云日志服务。这种方式效率高，异步非阻塞，非常适合需要频繁上传日志的场景。 plaintext logger logging.getLogger('asynclogging') logger.info("async log message 1,level:info") logger.info("async log message 2,level:info") logger.info("async log message 3,level:info")

本文介绍了云防火墙(原生版)产品入侵防御的防护配置功能。 云防火墙（原生版）的入侵防御功能支持防护网络攻击，可以实时检测并拦截恶意端口扫描、暴力破解、远程代码执行、漏洞利用等云上常见等网络攻击，避免服务器被挖矿或勒索。 防护配置 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“入侵防御 > 防护配置”。 3. 在页面上方切换云防火墙实例。 4. 配置防护模式。 观察模式：针对攻击行为仅记录及告警，不拦截。 拦截模式：自动拦截攻击行为，并记录且告警。 5. 高级设置。 虚拟补丁：针对可被远程利用的高危漏洞，应急漏洞，在网络层提供热补丁，实时拦截漏洞攻击行为，避免修复主机漏洞时对业务产生的中断影响。 DDoS防护：针对常见DDoS攻击进行实时自动防御。 病毒防护：通过病毒特征检测来识别病毒文件并产生日志。 6. 创建白名单。 说明 部分实例不支持使用白名单功能。 参数名称 参数说明 名称 自定义名单名称。名称长度不能超过100个字符。 IP版本 支持IPv4、IPv6。 源IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加出向规则时，源IP地址配置请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

本章节指导您配置云审计服务的事件跟踪器。 创建事件跟踪并投递至日志审计服务 说明 云审计目前仅支持投递至v3.0.1版本的日志审计服务中，若您的版本低于v3.0.1可提交工单升级。 1. 进入云审计服务控制台。 2. 在左侧导航栏选择“事件跟踪”，进入“事件跟踪”页面。 3. 单击左上角的“创建跟踪任务”，进入“新建事件跟踪”页面并填写相关参数。 参数 填写说明 跟踪任务名称 填写跟踪任务的相关名称。 长度为263字符，以大小写字母或中文开头，可包含数字、"."、""、""。 启用状态 选择跟踪任务的启用状态。 事件范围 跟踪任务记录的事件范围，可选“全部”、“只读”和“可选”。 投递类型 选择投“日志审计”。 日志审计实例 选择需要投放日志审计实例。 发送端口 日志审计待发送的端口。 注意 默认值为6514，需要与日志审计配置中保持一致。 证书 上传在日志审计中下载的证书，仅支持.p12格式。 4. 配置完成后单击“确定”，完成事件跟踪配置。 5. 配置完成后，即可在日志审计（原生版）控制台查看云审计事件。 查询日志：在“事件分析 > 日志检索”页面，支持通过列表和统计图的方式查看日志数据。详细操作请参见日志检索日志审计（原生版）。 查看仪表板：在“审计报表 > 仪表版”页面，可以查看所选时间范围内的全景视图，通过可视化方式展示统计数据，包括事件总数、事件趋势、事件等级分布、资源类型TOP10信息。

添加域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如果添加网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击“添加域名组”，弹出“添加域名组”，填写参数如下所示。 参数名称 参数说明 域名组类型 应用型/网络型 域名组名称 自定义域名组名称。 描述 （可选）设置该域名组的备注信息。 域名 输入域名，规则如下： 支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，.example.com）。 多个域名以英文逗号、英文分号、换行符、空格分隔。 说明 输入的域名请勿重复。 添加域名组中域名 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“域名组”页签，单击添加的域名组名称。弹出“域名组”弹窗。 6. 单击“添加域名”，弹出“添加域名”对话框，填写域名信息。 单击添加可添加多个域名。 7. 确认无误后，单击“确认”，完成添加。

前置需求 开通天翼云云搜索服务OpenSearch实例，获取内网地址和实例密码。 准备好云主机环境用来部署Dify，需要和OpenSearch实例网络互通。 准备好Deepseek模型、Embedding向量模型、Rerank重排序模型。 安装好Docker环境。 RAG流程 1. 用户通过Dify对话。 2. 调用Embedding模型将查询向量化。 3. 使用OpenSearch分别对字段和向量进行全文检索和向量检索，通过Rerank模型来重排序，返回最终召回的文档。 4. 检索到的文档以及对话的上下文通过Deepseek大模型总结归纳生成详细准确的回复。 步骤一：部署Dify 本文以云主机自建Dify为例，讲述搭建应用的操作步骤： 1. 克隆Dify的源码到云主机上，以下以v1.3.0为例。 2. 进入dify源码的docker目录 plaintext cd dify/docker 3. 拷贝文件 plaintext cp dockercompose.yaml dockercompose.yaml.bak cp .env.example .env 4. 修改.env文件 plaintext vim .env 使用opensearch作为全文检索库和向量检索库，将VECTORSTORE的值修改为opensearch plaintext VECTORSTOREopensearch 根据以下表格配置OpenSearch实例的相关信息 参数 含义 OPENSEARCHHOST OpenSearch的内网地址 OPENSEARCHPORT 端口号，云搜索服务默认9200 OPENSEARCHUSER 用户默认admin OPENSEARCHPASSWORD OpenSearch实例的密码 OPENSEARCHSECURE OpenSearch实例为https模型则设置为true，http则设置为false plaintext OPENSEARCHHOSTip OPENSEARCHPORT9200 OPENSEARCHUSERadmin OPENSEARCHPASSWORD OPENSEARCHSECUREtrue 5. 修改dockercompose文件。 plaintext vim dockercompose.yaml 为防止拉取公网镜像，将镜像名为opensearch和opensearchdashboards部分的配置注释掉。 plaintext

本文介绍如何收集Serverless集群控制平面组件日志。 基于Serverless 集群的运维需求，Serverless容器引擎为您提供了便捷的控制平面日志收集能力。通过此功能，您可以轻松地将集群控制面产生的日志汇集到您账号下的云日志服务中，以便进行集中化的管理和分析。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 采集的日志将以日志流的形式发送到您账号下指定的云日志服务的日志项目中，且云日志服务使用统一的按量付费方式计费。 操作步骤 安装ctglogoperator日志插件 收集控制平面组件日志需要先安装日志插件。 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 也可以通过在左侧导航栏，选择运维管理下的日志中心，点击“安装插件”。 等待ctglogoperator插件安装完成。 4. 在左侧导航栏，选择运维管理下的日志中心。 5. 在日志中心页面，单击“控制平面组件日志”页签，然后单击“立即开启”。 6. 选择创建或使用已有日志项目，修改日志存储时间，点击“确定”。 说明 Serverless集群支持kubeapiserver，kubecontrollermanager和kubescheduler三种控制平面组件日志查询方式。

本章节主要介绍云搜索服务如何进行标签管理。 标签是集群的标识。为集群添加标签，可以方便用户识别和管理拥有的集群资源。 您可以在创建集群时添加标签，也可以在集群创建完成后，在集群的详情页添加标签。 为集群添加标签 1.登录云搜索服务管理控制台。 2.在创建集群页面，“高级配置”选择“自定义”后，为集群添加标签。 您可以选择预定义标签，并为此标签设置“标签值”。您可以单击“查看预定义标签”，进入“标签管理服务”，了解此用户下已有的标签。 您也可以自定义“标签键”和“标签值”。 云搜索服务的每个集群最多可以设置10个标签。当设置不正确时，可单击标签右侧的“删除”按钮，删除此标签。当不设置标签时，可保持为空。 标签命名规则 参数 说明 标签键 不能为空。 对于同一个集群，标签键值唯一。 长度不超过36个字符。 只能包含数字、英文字母、下划线、中划线和中文。 标签值 长度不超过43个字符。 只能包含数字、英文字母、下划线、中划线和中文。 不能为空。 通过标签搜索集群 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击集群列表右上角的“标签搜索”。 3.输入需要搜索的标签键和标签值。 标签键和标签值仅支持从下拉列表中选择，当标签键和标签值全匹配时，系统可以自动查询到目标集群。当有多个标签条件时，会取各个标签的交集，进行集群查询。 系统最多支持10个不同标签的组合搜索。 4.单击“搜索”。 系统根据标签键和标签值搜索目标集群。

本章节主要介绍云搜索服务针对安全集群如何配置公网访问。 针对安全集群，云搜索服务的集群支持配置公网访问，配置完成后，通过提供的公网IP，您可以在外网接入安全集群。 创建集群时配置公网访问 1.登录云搜索服务管理控制台。 2.在创建集群页面，开启“安全模式”。 6.5.4及之后版本的集群支持开启“安全模式”。 3.“公网访问”选择“自动绑定”，配置公网访问相关参数。 公网访问参数说明 参数 说明 带宽 设置公网访问的带宽。 访问控制开关 如果关闭访问控制开关，则允许任何IP通过公网IP访问集群。如果开启访问控制开关，则只允许白名单列表中的IP通过公网IP访问集群。 白名单 设置允许访问的IP地址或网段，中间用英文逗号隔开。 已有集群公网访问管理 您可以对已经创建集群的公网访问进行修改，查看，解绑，也可以配置公网访问。 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击需要配置公网访问的集群名称，进入集群基本信息页面。 配置公网访问 如果创建集群时，未配置公网访问，集群配置成功后，可以在集群基本信息页面配置公网访问。 单击“公网访问”参数右侧的“绑定”，设置访问带宽后，单击“确定”。 如果绑定失败，用户可以等待几分钟后，再次尝试重新绑定公网访问。 修改 对已经配置了公网访问的集群，可以通过单击“带宽”参数右侧的“修改”，修改带宽大小，也可以通过单击“访问控制”右侧的“设置”，设置访问控制开关和访问白名单。 查看 在“基本信息”页面，可以查看当前集群绑定的公网IP地址。 解绑 对于已经绑定的公网IP，可以通过单击“公网访问”参数右侧的“解绑”，解绑公网IP。

本小节介绍影响域名解析生效的原因。 同一子域名同时配置IPv6地址和IPv4地址，DNS如何解析？ 根据访问者客户端机器协议栈支持情况反馈解析结果。 访问者客户端机器协议栈为IPv6：客户端向LocalDNS发起IPv6地址请求，LocalDNS则也向云解析DNS请求IPv6地址，云解析DNS则根据LocalDNS的请求返回IPv6地址（即用户配置的类型为AAAA的解析记录值），最终由客户端将IPv6地址返回给访问者。 访问者客户端机器协议栈支持IPv4：客户端向LocalDNS发起IPv4地址请求，LocalDNS则也向云解析DNS请求IPv4地址，云解析DNS则根据LocalDNS的请求返回IPv4地址（即用户配置的类型为A的解析记录值），最终由客户端将IPv4地址返回给访问者。 影响域名解析生效的原因有哪些？ 1. 域名状态是否正常：先检查域名的状态，可以查看注册服务商提供的whois域名信息，如果域名状态为clienthold或serverhold状态，意味着域名是禁止解析的；这样状态下，即使设置了域名解析，也是无法生效的，域名是无法被访问到的，需要联系注册商取消这个状态。 2. 是否修改了解析：如果修改了域名解析，到最终新解析地址被访问到，主要取决于各运营商的缓存DNS是否生效，并不是DNS服务商所能解决的。一般情况下，修改解析后，生效时间最长为设置该条解析记录的TTL值时间，如果TTL值为10分钟，那修改解析后，10分钟后就可以完全生效。 3. 是否修改了DNS：与修改解析记录相似，修改域名DNS后，同样取决于各运营商的缓存是否生效；一般情况下，全球生效需要072小时。

本小节介绍Web应用防火墙本地接入云WAF测试。 本地接入云WAF 1. 获取CNAME值，您可以通过添加配置后在自服务界面WAF防护配置列表中获取WAF生成的CNAME记录值。 2. ping“CNAME”值并记录“CNAME”对应的IP地址。 以域名portal.damddos.com为例，该域名已添加到WAF的网站配置中，且WAF为其分配了以下CNAME 值：portal.damddos.com.iname.damddos.com。 在Windows中打开cmd命令行工具，运行 ping portal.damddos.com.iname.damddos.com 获取WAF的回源IP。如下图所示，在响应结果中可以看到用来防护您的域名的WAF回源IP。 3. 在本地修改hosts文件，将域名及“CNAME”对应的WAF回源IP添加到“hosts”文件。 1. 用记事本或notepad++等文本编辑器打开hosts文件，hosts文件一般位于“C: WindowsSystem32driversetc”路径下。 2. 在hosts文件添加记录内容，对应的IP地址即在上述步骤中获取的云WAF防护IP地址，后面的域名即被防护的域名。 3. 修改hosts文件后保存，然后本地ping一下被防护的域名。 此时解析到的IP地址应该是上述步骤中配置的云WAF防护IP地址。 如果依然是源站地址，可尝试刷新本地的DNS缓存（Windows的cmd命令行工具下可以使用 ipconfig /flushdns命令）。

8e系列 采用第五代英特尔® 至强® 可扩展处理器 （Emerald Rapids）， 基于新一代虚拟化平台，支持IPI虚拟化（IPI Virtualization），使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制。支持 Intel® 高级矩阵扩展（Intel®AMX）、TME（Total Memory Encryption）运行内存加密等高级特性，同时可提供 192C1536G 大规格实例，计算性能、安全性、稳定性更强大，在人工智能、媒体应用、网站应用的性能均有所提升。 8ne系列 采用第五代英特尔® 至强® 可扩展处理器 （Emerald Rapids）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术，搭载天翼云自研紫金智能网卡，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。可提供192C1536G的大规格实例、3600万收发包能力 。适用各种于网络密集型应用场景，如NFV/SDWAN、移动互联网、视频弹幕、电信业务转发等；中小型数据库系统、缓存、搜索集群；各种类型和规模的企业级应用；大数据分析和机器学习。 8a系列 搭载AMD EPYC™ Genoa处理器（2.6GHz），基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套100GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，可提供稳定的算力输出和更强劲的I/O引擎。适用于对价格敏感、性能要求高的场景，如各种类型和规模的企业级应用、大数据分析与处理、高网络收发包场景（如游戏、直播等）、AI训练与推理，音视频转码类应用等。

如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。