本文带您快速熟悉修改后端云主机端口和权重的操作。 操作场景 负载均衡后端主机组支持对后端主机的端口和权重进行修改，权重越高的后端主机将被分配到越多的访问请求。 修改后端主机端口和权重功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 使用须知 在将后端云主机添加到弹性负载均衡器后，您可以为每个后端云主机指定不同的端口号。每台后端主机的权重取值范围为[1, 256]。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，点击左侧箭头展开主机组，显示“云主机”和“跨VPC后端IP”两个选项卡，选择“云主机”选项卡。 6. 从云主机列表中选择要修改的云主机，点击“修改”。 7. 依据后端主机端口和权重配置说明，在弹出的修改后端主机窗口内修改后端主机的端口和权重配置。 8. 点击“确定”，即可完成修改后端主机端口和权重的操作。 后端主机端口和权重配置说明 参数 说明 端口 后端云主机的服务监听端口，取值范围[165535]。 权重 后端虚拟机权重。权重值决定了后端云主机处理的请求的比例。例如，一个权重为2的云主机处理的请求数是权重为1的两倍。默认情况下，权重为1。

本节主要介绍示例场景 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册并实名认证。 请确保您已开通企业项目管理服务EPS，如服务未开通，请首先在天翼云网门户提交申请开通工单。 创建企业项目的用户必须是管理员，或在IAM侧已被授予EPS FullAccess权限的IAM用户。 操作场景 企业项目管理支持通过配置IAM用户对云资源进行分类管理。 若您拥有多种云资源，为了方便云资源的管理和使用的安全性，可以通过创建不同的企业项目和IAM用户并授予不同云服务的管理权限，从而实现IAM用户对云资源的分类管理。 本节以一个案例让您了解如何通过企业项目管理实现IAM用户拥有独立、隔离的云资源管理权限。 操作规划 操作项目 描述 创建用户组 在IAM控制台分别创建用户组TestECSA和TestECSB。 创建IAM用户并添加至用户组 在IAM控制台分别创建用户TestUserA和TestUserB。 将用户TestUserA添加至用户组TestECSA； 将用户TestUserB添加至用户组TestECSB。 创建企业项目并将用户组添加至项目 在企业项目管理页面分别创建企业项目projectA和projectB。 将用户组TestECSA添加至企业项目projectA； 将用户组TestECSB添加至企业项目projectB。 企业项目迁入资源 在企业项目管理页面分别给企业项目projectA和projectB迁入对应的云资源。 操作流程

本文简要介绍组播的使用限制及使用前提。 使用限制 在VPC中创建的弹性网卡，如果未绑定到云服务器，不支持加入组播网络。 弹性网卡被指定为组播成员后，如果您在VPC中删除该弹性网卡，则该弹性网卡关联的组播对象关系自动解除，当前弹性网卡（辅助网卡）仅支持动态加入。 在云间组播场景时，若组播成员同时选择IGMPv2和IGMPv3加入组播组，则只会接受IGMPv2的（，G）的report。 同地域的多个组播域之间互不相通。 一个VPC下仅支持创建一个组播域。 一个组播域下支持创建多个组播组，各个组播组的IP地址不能相同。 仅支持弹性网卡的主私网IP地址作为组播网络通信对象，弹性网卡其余IP地址不支持组播通信。 当前不支持IPv6类型组播，仅支持IPv4类型。 对于知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。 组播资源的配额限制如下表所示。 资源 默认配额 提升配额 单个租户可以创建的组播域数量 50 不可申请 单个组播域可以创建的组播组数量 30 不可申请 使用前提 1、您已创建虚拟私有云、云服务器等实例。如有云上云下建立组播的需求，需提前准备好云专线。 2、您已配置好客户侧路由及云内专线与VPC的关系（专线的配置仅当云上云下建立组播的时候需要）。 3、确保安全组已放通组播源和组播成员对应的端口号。

本节主要介绍怎么通过控制台分享文件。 操作场景 您可以使用对象分享功能，通过对象的临时URL将存放在OBS中的对象分享给所有用户。 背景知识 文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问域名和临时鉴权信息组成。 临时鉴权信息主要包含 AccessKeyId 、 Expires 、xobssecuritytoken 和Signature 四个参数。其中 AccessKeyId 、xobssecuritytoken 和Signature 用于鉴权，Expires定义鉴权的有效期。 当在OBS控制台上单击了对象后的“分享”之后，OBS就会以默认5分钟的有效期获取临时鉴权信息，并生成分享链接，此时链接就已经生效并且开始计算时间了。每调整一次URL有效期，OBS就会重新获取一次鉴权信息以生成新的分享链接，新链接的有效期从调整的时候开始计算。 约束与限制 通过OBS控制台分享的文件，有效期的范围为1分钟到18小时。如果想要设置更长的有效期，建议使用客户端工具OBS Browser+，OBS Browser+支持1分钟到30天的有效期。如果想要设置永久的权限，请通过桶策略或对象策略实现。 仅桶版本号为3.0的桶支持文件分享功能。桶版本号可以在桶概览页的“基本信息”中查看。 加密对象不能分享。 归档存储对象需恢复后才能分享。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 选中待分享的文件，并单击右侧的“分享”。 此时，链接信息中的链接就已经生效并开始计时，有效期为默认的5分钟。修改URL有效期，链接会相应变化，新链接的有效期从修改时开始计算。 步骤 3 URL相关操作。 单击“打开URL”，将在新页面打开文件进行预览或者直接下载文件到本地。 单击“复制链接”，您可以将该链接分享给所有用户，用户可以在浏览器中通过此链接直接访问文件。 单击“复制路径”，您可将该路径分享给所有拥有对象所在桶权限的用户，用户可以在对应桶中的文件搜索框中输入该路径搜索并访问文件。 说明 在“URL有效期”内，任何用户都可以访问该文件。

本文为您介绍如何使用使用DNAT暴露公网服务。 NAT网关介绍 弹性容器实例对外提供服务的方式有三种，eip、elb、dnat，您可以按需进行选择使用。 NAT网关（CTNAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，CTVPC）内的计算实例提供网络地址转换（Network Address Translation），分为公网NAT网关和私网NAT网关两种。公网NAT网关使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹性云主机提供互联网服务；私网NAT网关可将源、目的网段地址转换为VPC私网中转IP地址，通过使用中转IP实现VPC内的计算实例与其他VPC、云下IDC的指定地址隔离互访。详细信息查看天翼云官网NAT网关帮助文档。 ECI弹性容器实例接入DNAT最佳实践 1. 创建公网nat网关。 2. 为vpc添加路由表，指定0.0.0.0/0的下一跳地址为刚刚创建的nat网关。 3. 为公网nat网关创建DNAT规则。 1. 控制台创建时，选择手动输入自定义地址。 2. openapi创建时，指定virtualMachineType为2，serverType为VM，详细接口请参考创建dnat规则文档。 4. 访问nat网关绑定的eip+externalPort即可访问对应服务。

如果您需要添加云搜索服务（CSS）、数据湖探索（DLI）和Hive的资产，可参考本章节进行操作。 前提要求 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 单击左侧导航树的，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。 5. 在大数据资产列表左上角，单击“添加大数据源”。 6. 在弹出的“添加大数据源”对话框中，参考下表配置大数据源参数。 参数名称 参数说明 取值样例 资产名称 自定义参数。 区域 默认为当前帐号登录的区域。 大数据类型 选择大数据类型。 “Elasticsearch”，选择此类型时，其他参数说明请参见“Elasticsearch”参数说明。 “DLI”，选择此类型时，其他参数说明请参见“DLI”参数说明。 “Hive”，选择此类型时，其他参数说明请参见“Hive”参数说明。 Elasticsearch “Elasticsearch”参数说明： 参数名称 参数说明 取值样例 ES实例 在下拉框中选择ES实例。 版本 选择大数据类型对应的版本。 5.x 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 索引 输入大数据源对应的index。 用户名 输入访问大数据服务器的用户名。 密码 输入访问大数据服务器的密码。 “DLI”参数说明： 参数名称 参数说明 取值样例 队列 在下拉框中选择DLI中数据源的队列名称。 default DLI数据库 选择DLI中目标队列下的数据库名称。 5.x “Hive”参数说明： 参数名称 参数说明 取值样例 虚拟私有云 在下拉框中选择虚拟私有云。 子网 选择虚拟私有云对应的子网名称。 安全组 在下拉框中选择可用的安全组。 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 数据库名称 输入数据库名称。 7. 单击“确定”，大数据源资产添加完成。 大数据资产添加完成后，该大数据源的状态“连通性”为“检查中”，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。 数据安全中心DSC能正常访问已添加的大数据源，该大数据源的状态“连通性”状态为“成功”。 若数据安全中心DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

本文带您了解VPC终端节点服务有关的概念。 终端节点服务（Endpoint Service） 终端节点服务是可以被其他VPC通过创建终端节点建立内网连接的服务。终端节点服务由服务提供方创建和管理。 服务白名单（Service Whitelist） 服务白名单可以控制允许访问服务资源的用户范围。创建终端节点服务后，系统自动将服务所有者的天翼云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务，也可以创建与该终端节点服务连接的终端节点。如果您希望其他账号下的VPC访问服务，您需要将该天翼云账号ID添加到服务白名单中。 服务后端资源（Service Resources） 终端节点服务后端挂载的服务资源，实际部署开放的服务应用系统，可支持负载均衡，VIP，云主机和物理机等多种类型服务资源。 终端节点（Endpoint） 终端节点可以与终端节点服务相关联，以建立VPC通过内网访问外部服务的网络连接。终端节点由服务使用方创建和管理。根据终端节点连接的服务类型，可分为“接口”型和“反向”型。 终端节点访问控制（Endpoint Access Control List） 终端节点的访问控制能力，可以通过访问白名单方式，控制可通过终端节点访问服务的源主机信息。

架构部署：标准化落地组件 部署遵循“先基础网络、后防护组件、再业务资源”的顺序，确保各组件联动生效，避免流量绕开防火墙。 搭建基础网络（VPC + 子网） 1. 登录天翼云控制台，按VPC规划创建 vpc1（业务）、vpc2（业务）、vpccfw（防火墙）、vpcsec（安全产品），如何创建VPC请参考：创建虚拟私有云VPC。 2. 在各VPC内创建对应子网，严格按子网规划配置子网网段。 3. 配置VPC路由表：为业务 VPC（vpc1/vpc2）添加 “默认路由指向 vpccfw 的 GWLBE”（确保流量强制经过防火墙），为 vpccfw 添加 “指向各业务 VPC、云专线网关的路由”。 部署核心防护与转发组件 1. 云防火墙（C100）部署：在vpccfw中关联GWLBE子网1/2，绑定IPv4 网关，确保GWLBE 能接收来自各引流子网的流量。 2. NAT网关部署 ：在NAT网关子网中创建NAT网关，关联需出访的业务子网（如vpc1的Web业务子网），配置 NAT转发规则，创建NAT网关请参考：NAT网关操作指导。 3. ELB 部署： 公网ELB：部署在“公共子网”，后端节点关联 vpc1/vpc2 的“业务子网”ECS，开启健康检查（如TCP端口80探测）； 私网ELB：部署在“业务子网”，仅用于VPC内部业务访问，无需关联公网，如何创建ELB可参考：负载均衡器操作指导。 4. 云专线网关部署 ：在业务VPC（如 vpc2）中创建云专线网关，对接线下数据中心，配置路由指向vpccfw 的GWLBE（确保VPC与线下互访流量经过防火墙），如何创建云专线参考：云专线网关操作指导。 5. 绑定EIP的ECS/HAVIP 部署：仅在“公共子网”中创建此类资源（如运维管理节点），配置安全组仅开放管理员IP的访问权限（如仅允许192.168.0.0/24网段访问22端口）。

本文主要介绍如何配置日志访问。 简介 分布式关系数据库DRDS日志配置管理功能支持对错误日志和运行时日志的采集配置进行统一管理，并将日志数据采集至云日志服务中，以满足用户的日志处理需求。云日志服务（CTLTS，Log Tank Service）提供一站式解决方案，包括日志采集、秒级搜索、海量存储、结构化处理及转储等功能，适用于应用运维、网络日志分析、等保合规及运营分析等多种场景。如需进一步了解云日志服务的详细信息，请参见云日志服务的产品定义章节。 前提条件 实例状态为运行中。 首次配置需要提前开通云日志服务，开通流程，请参见开通云日志服务。 已在云日志服务控制台创建日志项目和日志单元。 配置实例需完成配置终端节点 操作，具体步骤，请参见配置VPCE。 说明 该功能目前在试用阶段，仅对加了白名单的客户开放，如需使用，请提工单进行处理。 创建日志访问配置 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 日志访问配置，进入日志访问配置页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的配置访问日志 ，弹出配置访问日志页面。 4. 单击授权访问日志服务，选择需要授权的日志类型，并选择对应的日志项目和日志单元。 5. 单击确认。 日志配置状态变更为创建中 ，等待几分钟后，状态变更为已完成，则表示日志配置完成。 说明 DBProxy实例支持配置的日志类型为：运行时日志、慢日志和错误日志。 GiServer实例支持配置的日志类型为：运行时日志和错误日志。

本文介绍购买类常见问题。 云容器引擎服务与serverless容器服务的区别是什么？ 容器引擎将容器运行的集群资源也交付给了用户，用户能够感知到集群、节点的存在，能够对集群节点进行查看和管理，用户的操作权限及自由度更大，相应的也需要承担集群维护的责任。Serverless容器服务不涉及资源节点的管理，用户无法对集群节点进行操控，用户仅需要关注应用的运行。 说明： 关于云容器引擎服务产品的进一步详细信息可参照【产品定义】部分。 容器引擎是否需要购买镜像仓库？ 如若你开通了云容器引擎服务，云容器引擎平台将会提供一个免费的基础版镜像仓库供给用户使用，用户无需单独购买镜像仓库产品，也可以实现私有镜像的上传。若用户具有更高的需求，也可开通天翼云的容器镜像服务，服务目前为免费提供。 说明 ：镜像仓库的详细使用方式可参考容器镜像部分【创建容器镜像】。 云容器引擎常见的使用场景是什么？ 以下列举了几项使用云容器引擎的常见场景： 适用于传统IT架构渐进式转型的场景，实现单一架构解耦拆分为多个容器，系统更灵活，轻松应对市场变化。 适用于业务上线效率低下的场景，实现容器镜像贯穿从开发到运维各环节，统一环境配置，业务快速上线。 适用于访问量有明显波峰、波谷的应用，实现自动弹性伸缩，系统秒级自动弹性扩容，快速响应并发高峰。 适用于系统IT资源浪费严重的场景，使平均负载维持较高水平，每分钱都真正支持业务。 适用于复杂系统运维压力大的场景，基于容器服务实现自动化运维，基于实时日志快速问题定位，界面化操作和短信通知实现24小时自动监控。 说明： 更多场景应用可参考【应用场景】部分，或咨询客户。

S3 Browser是一个支持S3接口服务的免费windows客户端工具。 安装方法 使用浏览器打开S3 Browser网站 使用方法 1、安装完成后双击打开客户端，点击菜单栏中“Accounts”，出现下拉菜单后再点击“Add new account..”，会弹出新增账号信息弹出框。 2、在弹出框中，填下相应的信息，点击“Add new account”保存。填写说明如下： l Account Name：用户根据自己的需要进行命名。 l Account Type：选择“S3 Compatible Storage”。 l REST Endpoint：填写对象存储节点地址访问域名，如xiongan2.zos.ctyun.cn。 l Access Key ID：用户需进入对象存储控制台，查看对象存储Access Key信息，复制粘贴到Access Key ID中。 l Secret Access Key：用户需选择上述Access Key对应的Secret Key进行填写。 l Use secure transfer(SSL/TLS)：外网使用需要勾选此选项，内网使用不用勾选。 注意 在云内使用S3 Browser，请勿勾选下方的"Use Secure Transfer"和"Verify SSL"。因为云内属于安全网络ZOS仅提供http访问，不提供https访问。 如果通过公网访问ZOS，则建议勾选"Use Secure Transfer"和"Verify SSL"。 3、账号添加成功后，您即可在工具中查看到ZOS中目前已经存在的桶和文件。用户点击相应的菜单和按钮进行桶和文件的管理。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI应用发现及管控能力通过周期性扫描终端设备，有效发现部署的AI应用，帮助企业快速理清全域AI应用分布，为后续的AI应用风险监测及管控奠定基础。 功能说明 1.通过周期性采集上报 AI 应用资产，统计最新的终端设备 AI 应用安装数量。 2.针对 Windows AI 软件进行管控，管控动作包括禁止运行、禁止联网。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用发现及管控】，查看 AI 应用发现及管控功能。 3. 可根据业务需求进行相关配置。 AI 应用发现数据 1. 当前AI 应用发现，采用周期性扫描的（默认每 24小时采集一次）方式定期采集终端设备上部署的 AI 应用。 2. 点击“AI 应用发现” 开关按钮，开启/关闭功能AI 应用周期性扫描。 3. 点击“设置”，可以配置无需扫描的非 AI 应用服务端口，减少无效扫描。 4.顶部概览视图支持查看当前检测的所有AI 应用数量以及安装了 AI 应用的终端设备数量，实时掌握当前 AI 应用资产总量。 5.支持查看当前所有设备中部署的 TOP10 AI 应用，快速了解高频使用的 AI 应用。

本章节主要介绍DCS管理控制台Web CLI工具的命令兼容性，列举支持和禁用的命令列表，命令的具体详细语法，请前往Redis官方网站查看。 本章节主要介绍DCS管理控制台Web CLI工具的命令兼容性，列举支持和禁用的命令列表，命令的具体详细语法，请前往Redis官方网站（网站为： 当前仅Redis 4.0及以上版本支持Web CLI功能。 说明 当前在Web CLI下所有命令参数暂不支持中文且key和value不支持空格 当value值为空时，执行get命令返回nil。 Web CLI支持的命令 以下列出了通过Web CLI连接Redis实例时支持的命令。 表 Web CLI支持命令清单 Keys String List Set Sorted Set Server DEL APPEND RPUSH SADD ZADD FLUSHALL OBJECT BITCOUNT RPUSHX SCARD ZCARD FLUSHDB EXISTS BITOP BRPOPLRUSH SDIFF ZCOUNT DBSIZE EXPIRE BITPOS LINDEX SDIFFSTORE ZINCRBY TIME MOVE DECR LINSERT SINTER ZRANGE INFO PERSIST DECRBY LLEN SINTERSTORE ZRANGEBYSCORE CLIENT KILL PTTL GET LPOP SISMEMBER ZRANK CLIENT LIST RANDOMKEY GETRANGE LPUSHX SMEMBERS ZREMRANGEBYRANK CLIENT GETNAME RENAME GETSET LRANGE SMOVE ZREMRANGEBYCORE CLIENT SETNAME RENAMENX INCR LREM SPOP ZREVRANGE CONFIG GET SCAN INCRBY LSET SRANDMEMBER ZREVRANGEBYSCORE SLOWLOG SORT INCRBYFLOAT LTRIM SREM ZREVRANK ROLE TTL MGET RPOP SUNION ZSCORE SWAPDB TYPE MSET RPOPLPU SUNIONSTORE ZUNIONSTORE MEMORY MSETNX RPOPLPUSH SSCAN ZINTERSTORE PSETEX ZSCAN SET ZRANGEBYLEX SETBIT ZLEXCOUNT SETEX SETNX SETRANGE STRLEN BITFIELD 表 Web CLI支持命令清单 [Hash](

本节为您介绍自建PostgreSQL为源的同步任务源端配置。 前提条件 （1）自建PostgreSQL数据库的源端版本为9.5.x、9.6.x、10.x、11.x、12.x、13.x、14.x版本。 （2）自建PostgreSQL数据库WAL日志设置wallevellogical，且maxreplicationslots大于10。 （3）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 （4）增量数据同步期间，CMS会在源库中创建后缀为cloudlogslot的replication slot用于复制数据。 （5）任务完成后会主动删除该replication slot，如果您在迁移期间修改了数据库密码，或者删除了访问IP白名单，则会导致该replication slot无法自动删除，此时需要您在源库手动删除，避免其持续累积占用磁盘空间导致RDS PostgreSQL实例不可用。 （6）如果 PostgreSQL发生了主备切换，则需要您登录备库来手动清理。 使用限制 无主键表仅支持全量同步，不支持增量同步； 同步过程中，可同步源端数据库的全量表结构、全量数据和增量数据。 源端权限要求 同步模式 所需权限 全量 模式层级：USAGE 表层级： SELECT 增量 用户为超级用户或者复制角色 复制角色赋予方法：alter user 用户名 with replication 模式层级：USAGE 表层级：SELECT 源端配置： 数据源类型 选定为PostgreSQL，可同步版本范围内的PostgreSQL数据库 服务器IP 待同步源端数据库的连接IP 端口号 待同步源端数据库的端口 用户名 用于连接待同步源端数据库的用户名称 密码 用于连接待同步源端数据库的用户的密码 数据库 要同步的源端数据库名 模式 源端实际用于迁出数据的模式（schema）名称

参数 说明 取值样例 计费模式 按需计费：后付费方式，VPN网关和VPN连接组按使用时长收取费用，计费周期为1小时。 按需计费 区域 选择靠近您所在地域的区域可以降低网络时延，从而提高访问速度。 不同区域的资源之间网络不互通。 请根据实际需要进行选择 名称 VPN网关的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpngw001 网络类型 公网：VPN网关通过公网建立VPN连接。 私网：VPN网关通过私网建立VPN连接。 公网 协议类型 支持“IPv4”和“IPv6”两种类型。 IPv6 关联模式 虚拟私有云 通过VPC向对端网关或本端子网内服务器发送通信消息。 企业路由器 通过ER向对端网关或ER下所有VPC所在子网发送通信消息。 说明 该场景下需要关注企业路由器的路由表条数规格限制。如果对端网关和VPN网关发送的路由条数超过企业路由器的规格，则企业路由器将无法学习到超出部分的路由信息，最终导致VPN网关和对端网关之间的流量不通。 虚拟私有云 虚拟私有云 选择虚拟私有云VPC信息。 vpc001(192.168.0.0/16) 企业路由器 仅“关联模式”采用“企业路由器”时需要配置。 选择企业路由器ER信息。 er001 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.66.0/24 本端子网 VPC与对端网关对应数据中心互通的子网。 选择子网选择本 VPC子网信息。 输入网段 可以输入本VPC下的子网信息；也可以输入与本VPC建立了对等网络的VPC子网信息。 192.168.1.0/24,192.168.2.0/24 BGP ASN VPN网关会根据输入值创建相应的ASN，VPN网关和对端网关的BGP ASN需要不同。 64512 可用区 可用区是指在同一地域内，电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通，可用区之间能做到物理隔离。 当存在两个及以上可用区时，必须选择两个可用区。 部署在两个可用区的VPN网关具备更高的可用性。建议您根据VPC内资源所在的可用区选择网关的可用区。 当仅存在一个可用区时，可选择此可用区创建VPN网关。 可用区1、可用区2 VPN连接组数 VPN网关默认提供10个免费的VPN连接组。 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。 如果用户侧数据中心有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。 10 HA模式 双活：主EIP和主EIP2均与对端网关建立VPN连接，但只有一条VPN连接进行数据交互。当其中一条VPN连接发生故障时，数据交互切换至另一条VPN连接。 主备：主EIP与备EIP均与对端网关建立VPN连接，默认情况下流量仅通过主链路进行传输。如果主链路故障，流量自动切换至备链路进行传输；主链路恢复正常后，流量回切至主链路进行传输。 双活 主EIP 用于VPN网关和对端网关进行网络连接。 现在创建：创建新EIP。 使用已有：使用已有EIP。 现在创建 带宽大小 EIP对应带宽大小，单位：Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth1 主EIP2 一个VPN网关需要绑定一组弹性公网IP（即主EIP、主EIP2），每个公网IP可以独立规划带宽。 现在创建 备EIP 一个VPN网关需要绑定一组弹性公网IP（即主/备EIP），每个公网IP可以独立规划带宽。 说明 VPN网关“计费模式”为“按需计费”场景下，若备EIP为按流量计费，强烈建议用户在云监控中配置告警规则对备EIP进行监控，避免因VPN连接故障、主链路切换至备链路导致的流量费用超支问题。 如何在云监控中对EIP配置告警规则，请参见《弹性IP用户指南》。 现在创建 公网带宽 按需计费支持两种计费方式：按带宽计费/按流量计费。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：指定带宽上限，按实际使用的出云流量计费，与使用时间无关。 按流量计费 带宽大小 EIP对应带宽大小，单位Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth2 企业项目 创建VPN时，可以将VPN加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 关于创建和管理企业项目的详情，请参见《企业项目管理用户指南》。 default 高级配置 仅“网络类型”为“私网”、“关联模式”采用“虚拟私有云”时需要配置。 选择：适用于同租户场景，选择本租户下接入虚拟私有云、接入子网、接入IP。 输入：适用于跨租户场景，填写接入项目、接入账号、接入虚拟私有云和接入子网。 选择 接入虚拟私有云 仅“关联模式”为“虚拟私有云”、“网络类型”为“私网”时需要配置。 当VPN网关的南北向需要连接不同的虚拟私有云时，设置北向的虚拟私有云为该接入虚拟私有云。 VPN网关关联的虚拟私有云为南向业务虚拟私有云。 选择“与网关关联的虚拟私有云一致” 接入子网 缺省情况下，VPN网关从关联的虚拟私有云的互联子网接入。当VPN网关需要从指定子网接入时设置。 选择“与互联子网一致”

本文将向您介绍创建终端节点服务的步骤,以便您根据实际需求进行操作。 操作场景 终端节点服务是将云服务或用户私有服务配置为VPC终端节点支持的服务。目前支持"接口"类型的终端节点服务的创建。 约束及限制 单个VPC可以创建终端节点服务实例数为20个。 单个终端节点服务可连接终端节点实例数为500个。 单个终端节点只能连接1个终端服务节点实例。 前提条件 在同一VPC内已创建了后端资源。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”，点击“创建终端节点服务”。 5. 在“创建终端节点服务”页面根据“接口型”终端节点服务配置说明配置参数，点击“确定”完成创建。 “接口型”终端节点服务配置说明 参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 IP地址类型 服务IP地址类型，IPV4：仅自持IPV4类型终端节点连接，实现IPV4地址私网访问服务，双栈：支持IPV4和IPV6类型终端节点连接，实现IPV4和IPV6地址的私网访问服务。选择双栈类型时，挂载的后端服务资源池必须也是双栈类型资源。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 服务计费 是否开启服务计费，可选择“是”或“否”。 默认连接服务的终端节点费用有终端节点创建账户支付，如服务开启服务计费后，则连接服务的终端节点费用将由服务所在账户支付，功能仅创建时指定，服务创建后不可修改。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过"终端端口 → 服务端口"的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：适用于需要主备高可靠的业务。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本节为您介绍Linux迁移任务相关配置。 自定义分区 1. 根据源机分区自动初始化目标机分区配置，用户可自定义修改。可进行添加分区、管理逻辑卷、查看源机分区、修改分区和删除分区等操作。界面如下图所示： 2. 单击“添加目标机分区”新增分区，分区类型包含标准分区、扩展分区、逻辑分区和LVM分区。 说明 标准分区和扩展分区数量不大于4个，扩展分区数量不大于1个。标准分区和扩展分区大小之和不能超过磁盘大小。扩展分区下可创若干个逻辑分区，逻辑分区大小之和需小于扩展分区大小，如果没有扩展分区，就不能创建逻辑分区。新增LVM分区时，需要选择所属VG，新增的LVM分区大小不能超过VG剩余大小。挂载点需要唯一。 3. 确认分区时系统会对如挂载点校验、挂载点已使用大小等进行校验，若目标机缺少挂载点，就会提示挂载点缺失。 4. 您也可以单击“管理分区类型”，按需设置磁盘对应的分区类型。 5. 单击“管理LVM”按钮，您可以查看“VG”信息。 6. 单击“添加VG”后可在弹框按需新增卷组。 7. 单击“添加PV”可对物理卷按需添加。 8. 单击“查看源机分区”，可用对源机磁盘分区等情况进行查看。 9. 如果您需要全部重设迁移配置，您可单击“重置”以重新配置。

本小节介绍服务器安全卫士的应用场景。 主机安全防护 主机安全，是企业网络安全的最后一公里，一旦被攻击会直接影响到企业业务。正因如此，国家相关法律法规对主机的入侵检测和恶意木马的防护都有严格的要求。入侵检测以生产服务器为安全防护中心，横跨物理和虚拟环境，私有云、公有云和混合云等多种云环境下物理机、云主机、虚拟机，甚至容器等工作负载，能够实时、准确地感知入侵事件，发现失陷主机，并根据入侵场景不同，提供了包括自动封停、手动隔离、黑 / 白名单和自定义处理任务等多种处理方式，让用户从根本上解决入侵事件。有主机的地方就需要主机入侵检测。 发现新型漏洞 至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

操作场景 切回完成后，数据不会自动同步（生产站点到容灾站点），保护实例处于停止保护状态，如需开始数据同步，需要进行重保护操作。 前提条件 需要待重保护的生产站点服务器已完成预配置；如果还未进行预配置，请参考配置生产站点服务器进行配置。 保护实例状态为“切回完成”或者“重保护失败”。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待重保护的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待重保护的保护实例所在行操作列的“更多 > 重保护”。 6. 进入重保护页面，单击“提交”开始重保护。 7. 保护实例状态变为“重保护中”，等待操作完成。 8. 操作完成后，保护实例状态更改为“同步中”，并显示剩余待同步数据量以及预估剩余时间。 说明 切回成功后，原容灾站点服务器将自动删除。

本文主要介绍如何通过控制台管理日志单元。 概述 日志单元是云日志服务中日志数据的采集、存储、查询、分析的基本单元。每个日志单元隶属于一个日志项目，每个日志项目中可创建多个日志单元。本文介绍如何通过控制台管理日志单元。 创建日志单元 1. 登录云日志服务控制台日志管理首页。 2. 点击日志项目名称对应的下拉按钮，点击【创建日志单元】。 3. 在创建日志单元弹窗，输入以下参数： 1. 日志单元名称：输入单元名称，注意单元名称在当前项目内不可重复，且创建后不可修改。 2. 日志存储时间：日志采集后在云日志服务中的存储时长，超出存储时长后，日志数据将被老化删除。目前最长保存时间为365天。 4. 点击保存，日志单元创建成功，即可在目标日志项目下方生成一条日志单元信息。 注意 日志单元名称在当前日志项目内全局唯一，创建后不可修改。 查询日志单元 进入日志管理页面后，在指定的日志项目下（点击项目名称左侧的下拉按钮），可通过单元名称、单元ID、备注、标签查询指定的日志单元。 将鼠标悬浮在日志单元名称上，可查看日志单元id、日志单元原始名称信息。

本文介绍如何创建有状态应用。 有状态应用与无状态应用的创建流程相似，有状态应用（StatefulSet）包含pod一致性、稳定的持久化存储、稳定的网络标志、稳定的次序。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 若基于私有镜像创建应用，用户首先需要将镜像上传至镜像仓库。将镜像上传至容器镜像仓库的具体操作请参考客户端上传私有镜像。 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【有状态应用】，进入有状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）单击【下一步】，进入添加服务页面>【添加服务】； 有状态应用必须填写【实例间发现服务】，请输入服务名称、端口名称、端口号完成添加； （可选）点击【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略。 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本文主要介绍了在“我的订单”页面进行订单取消的操作步骤。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索需要取消的订单，也可通过订单类型、订单状态过滤筛选需要取消的订单。若取消云订单，选中“云订单”页签；若取消网订单，选中“网订单”页签。 3. 在订单列表找到需要取消的订单，在更多下拉框点击“取消”。 4. 在系统弹出的确认对话框中，点击“确定”。 说明 取消绑定交易订单时（或当一个订单归属于绑定交易订单时，取消该订单），则绑定交易订单下所有关联的订单会同步取消。 客户也可进入“待支付订单”取消订单。

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。

本章节主要介绍如何创建分布式消息服务RabbitMQ实例。 RabbitMQ是一款基于AMQP协议的开源服务，用于在分布式系统中存储转发消息，服务器端用Erlang语言（支持高并发、分布式以及健壮的容错能力等特点）编写，支持多种语言的客户端，如：Python、Ruby、.NET、Java、JMS、C、PHP、ActionScript、XMPP、STOMP、AJAX等。 AMQP，即Advanced Message Queuing Protocol，高级消息队列协议，是应用层的一个开放标准协议。 前提条件 在创建RabbitMQ专享版实例前，需要保证存在可使用的虚拟私有云。创建虚拟私有云的方法，请参考《虚拟私有云用户指南》。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 为RabbitMQ授权 如果RabbitMQ实例需要开启IPv6功能，在创建实例前，需要授予RabbitMQ操作VPC终端节点的权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess 操作步骤 步骤1 登录管理控制台。 步骤2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的应用服务相同的区域。 步骤3 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务>RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤4 单击页面右上方的“购买RabbitMQ实例”。 每个项目默认最多可以创建100个RabbitMQ专享版实例，如果您想创建更多实例，请联系客服申请增加配额。 步骤5 选择“计费模式”、“区域”、“项目”和“可用区”。 步骤6 设置“实例名称”和“企业项目”。 步骤7 设置实例信息。 1. 版本：RabbitMQ的版本号，当前仅支持3.8.35。 2. 实例类型：支持“单机”和“集群”。 单机：表示部署一个RabbitMQ代理。 集群：表示部署多个RabbitMQ代理，实现高可靠的消息存储。 3. 鲲鹏实例：“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 4. 规格：根据实际情况选择规格。 说明 为了保证服务的稳定可靠，RabbitMQ采用了默认的40%高水位配置。当内存占用率到达40%高水位后，会触发流控，生产者发送消息会被阻塞。为了避免高水位的产生，请及时消费积压在队列中的消息。 5. 代理个数：根据实例情况选择代理个数。 6. 存储空间：选择RabbitMQ实例的磁盘类型和存储空间总量。 单机实例的取值范围：100GB ~ 30000GB 集群实例的取值范围为：100GB 代理数 ~ 30000GB 代理数 7. 虚拟私有云：选择已经创建好的虚拟私有云和子网。 虚拟私有云可以为您的RabbitMQ专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 说明 虚拟私有云和子网在RabbitMQ实例创建完成后，不支持修改。 子网开启IPv6后，RabbitMQ实例支持IPv6功能。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 8. 安全组：在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 图1 设置实例信息 步骤8 设置连接RabbitMQ实例的用户名和密码。 步骤9 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤10 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 您可以选择是否打开公网访问开关。 如果选择了开启，表示访问RabbitMQ实例可以通过弹性IP访问。这时页面会显示“弹性IP地址”，在“弹性IP地址”区域，您可下拉选择已有的弹性IP。另外，您可单击右侧的“创建弹性IP”，跳转到网络控制台的弹性IP页面，购买弹性IP。 图2 购买RabbitMQ实例时公网访问设置 说明 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问进行调试。 如果用户在虚拟私有云的服务页面手动解绑定或删除EIP，相应RabbitMQ实例的公网访问功能会自动关闭。 2. 设置“SSL”。 客户端连接实例时SSL认证的开关。开启SSL，则数据加密传输，安全性更高。 SSL开关在实例创建完成后不支持修改，请明确是否需要开启 。 3. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个RabbitMQ实例最多支持设置20个不同标签。 4. 设置实例的描述信息。 步骤11 填写完上述信息后，单击“立即购买”，进入“规格确认”页面。 步骤12 确认实例信息无误且阅读并同意《分布式消息服务RabbitMQ服务等级协议》、《天翼云分布式消息服务协议》后，提交请求。 步骤13 在实例列表页面查看实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的RabbitMQ实例，然后重新创建。如果重新创建仍然失败，请联系客服。

参数 描述 everest.io/diskvolumetype 云硬盘类型，全大写。当前支持高I/O（SAS）、超高I/O（SSD）和普通I/O（SATA）。 failuredomain.beta.kubernetes.io/region 集群所在的region。 failuredomain.beta.kubernetes.io/zone 创建云硬盘所在的可用区，必须和工作负载规划的可用区保持一致。 storage 云硬盘的容量，单位为Gi。 storageClassName 存储卷动态供应关联的k8s storage class名称。云硬盘需使用“csidisk”。 accessModes 指定读写模式，显示volume实际具有的访问模式。1.15集群版本只支持非共享卷，此字段设置为“ReadWriteOnce”。 driver 挂载依赖的存储驱动。EVS云硬盘配置为“disk.csi.everest.io”。 volumeHandle 云硬盘的volumeID。 获取方法： 在云服务器控制台中，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下单击“ID”后的复制图标即可获取云硬盘的volumeID。 everest.io/diskmode 云硬盘磁盘模式，取值支持SCSI。

本章节列举了使用云主机备份过程中的恢复类问题,以及相对应的解答。 使用云主机备份恢复数据时，需要停止云主机吗？ 恢复数据时系统会关闭云主机，待数据恢复后系统会自动启动云主机。 如果取消勾选“恢复后立即启动云主机”，则需要用户手动启动云主机。 云主机变更后能否使用备份恢复数据？ 如果您的云主机做过备份后进行变更（添加、删除、扩容云硬盘），还可以使用原有的备份恢复数据。但因为文件系统的限制，恢复数据后，云硬盘恢复为未变更前的状态，建议您在变更后重新做备份。 如果备份后用户添加了云硬盘，再使用备份进行恢复，则添加的云硬盘数据不会改变。 如果备份后用户删除了云硬盘，再使用备份进行恢复，则删除的云硬盘不会被恢复。 如果备份后用户对服务器切换系统，再使用系统盘备份进行恢复原系统盘，则由于磁盘UUID的改变将导致系统盘备份恢复不成功。 使用备份恢复云主机或镜像创建云主机后，密码被随机如何处理？ 请参考弹性云主机帮助中心，常见问题，密码类，密码重置章节完成对应操作系统密码重置。

NVIDIA GPU云主机需要安装驱动后才可以正常使用,本文为您介绍如何选择适合的驱动类型及安装方式。 驱动类型选型概述 天翼云GPU云主机支持安装以下两种NVIDIA驱动： GPU驱动：用于驱动物理GPU，也称Tesla 驱动。 GRID驱动：配套NVIDIA GRID vGPU方案使用、用于获得实时渲染能力。 实例类型 场景 驱动类型 驱动安装方式 GPU计算加速型 (windows) 通用计算 Tesla 驱动 NVIDIA官网下载并安装GPU驱动 GPU计算加速型 (windows) 图形渲染 GRID 驱动 在购买时选择已预装 GRID 驱动的计费镜像 向 NVIDIA 或其代理商购买对应的 License并自行安装GRID 驱动（ 不推荐） GPU计算加速型 (linux) 通用计算 Tesla 驱动 选择预装驱动的公共镜像 创建GPU实例时自动安装GPU驱动 NVIDIA官网下载并安装GPU驱动 GPU计算加速型 (linux) 图形渲染 （离线渲染可使用Tesla驱动，部分实时渲染需使用GRID驱动） Tesla 驱动/GRID 驱动 如安装Tesla驱动 选择预装驱动的公共镜像 创建GPU实例时自动安装GPU驱动 NVIDIA官网下载并安装GPU驱动 如安装GRID驱动 在购买时选择已预装 GRID 驱动的计费镜像 向 NVIDIA 或其代理商购买对应的 License并自行安装GRID 驱动（不推荐） GPU图形加速基础型（windows/linux） 通用计算 GRID 驱动 公共镜像中已预装GRID 驱动，无需单独付费 GPU图形加速基础型（windows/linux） 图形渲染 GRID 驱动 公共镜像中已预装GRID 驱动，无需单独付费 注意 目前仅部分资源池支持勾选“安装GPU驱动”，若目标资源池不支持该功能，且提供的预装驱动镜像无法满足您的要求，请您 参见安装Tesla驱动，手动安装GPU驱动。 目前仅部分资源池提供预装GRID驱动的计费镜像，如您所需资源池无该镜像，请提工单进行加载，预装GRID驱动的计费镜像的收费策略请参见计费说明镜像服务计费说明 天翼云 (ctyun.cn)。

本节为您介绍如何弃用镜像。 操作场景 当用户由于某种原因，不再使用某个镜像但是也不想删除此镜像的时候，可以弃用此镜像。例如，用户可以弃用不再主动维护的镜像，也可以弃用已被较新版本取代的镜像。 前提条件 弃用镜像只支持私有镜像。 待弃用的镜像必须为“正常”状态。 状态为“已弃用”的镜像才能取消弃用。 弃用中、已弃用的镜像不可以分享。 已经分享出去的镜像，不能弃用。 弃用中、已弃用的镜像不支持“申请云主机”、“导出”、“修改”。 操作步骤 1. 登录天翼云控制中心。 2. 单击控制中心顶部的选择区域。 3. 在左侧导航栏选择“计算 > 镜像服务”。 4. 在镜像列表页，选择需要弃用的镜像，单击“弃用”。 5. 弃用之后镜像的状态会从“弃用中”逐步变为“已弃用”，状态为“已弃用”表示弃用镜像操作完成。 后续操作 1. 镜像弃用之后，在镜像列表，“申请云主机”按钮置灰不可操作。用户在购买云主机页面，选择镜像时，在镜像的下拉框不再展示此镜像。 2. 已弃用的镜像可以取消弃用，取消弃用之后，镜像可以正常使用。

适用场景 对Redis协议兼容性要求较高的场景 标准版主备实例完全兼容Redis协议，各业务可实现平滑迁移。 性能压力较小且需要支持数据高可用的场景 由于Redis的单线程机制，标准版实例不适用于QPS较大的场景，若性能在10万QPS内，且对数据高可用有一定要求，则可使用标准版主备实例。

参数名 说明 取值样例 资源队列 选择目的表所属的资源队列。 DLI的default队列无法在迁移作业中使用，您需要在DLI中新建SQL队列。 cdm 数据库名称 写入数据的数据库名称。 dli 表名 写入数据的表名。 cardetail 分区 导入前清空数据，如果设置为true时，呈现此参数。 表示分区信息。 year2020,locationsun

查看及下载报表 报表保留周期如下表所示，建议您定期下载报表，以满足等保测评以及审计的需要。 报表类型 保留周期 日报 报表保存180天，约半年 周报 报表保存52周，约一年 月报 报表保存24个月，约两年 请参考如下步骤查看及下载报表： 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 报表管理”，进入报表管理页面。 3. 在页面上方切换防火墙实例。 4. 在目标报表所在行的“操作”列，单击“预览”即可查看报表内容，单击“下载”即可将报表下载到本地。