本文介绍云容器引擎的计费模式。 目前集群订购支持包年包月的付费方式，由于容器引擎处于公测状态，故不收取集群管理费用，仅根据集群开通的节点数收取云主机、云硬盘等IaaS基础资源费用。

故障恢复失败怎么办？ 1. 检查日志 ：与注入失败类似，先通过查看日志了解恢复失败的原因。 2. 平台重试 ：单击重试按钮，尝试让平台再次自动恢复。 3. 手动恢复 ：如果平台重试无效，您需要根据故障类型进行手动恢复。例如： 对于主机宕机 ，请到云主机 控制台对机器执行重启操作。 对于DNS篡改 ，请登录到云主机手动编辑并还原 /etc/hosts 文件。 对于大多数组件故障，在对应云产品 控制台对实例执行重启通常是有效的恢复手段。 4. 确认跳过 ：如果确认通过手动方式恢复了故障 ，且业务已恢复正常，可以回到故障演练 控制台，对该恢复节点单击跳过 按钮，系统将忽略该故障动作的恢复结果，继续推进演练流程。请务必谨慎使用此功能。

为了保证翼加密的正常使用，在使用之前，请您务必认真阅读以下注意事项。 客户端兼容性 (1)翼加密支持的Windows镜像版本是server 2016，暂不支持server 2008及win7操作系统版本。 (2)如果您的AI云电脑需要安装杀毒软件，建议使用“火绒”杀毒软件。 注意：翼加密目前不兼容腾讯电脑管家、非最新版本的360卫士以及其他第三方杀毒软件。使用这类杀毒软件可能会造成加密文件无法正常读写等问题。 加密规则和使用说明 透明加密&落盘加密 加密AI云电脑内传输、下载、编辑保存的符合加密策略的文件会被自动加密。加密全程无感知，不影响员工正常办公。 在AI云电脑内可正常打开已加密文件，在AI云电脑外打开是乱码。 同租户内加密文件互通 加密文件只要满足密级权限要求，在同租户下的加密AI云电脑可以互通，明文读写。外发到非加密的外部电脑打开为密文数据。如需外发请通过翼加密客户端提交脱密申请。 部分预览功能可能会被影响 浏览器、邮箱、OA办公或IM软件等的预览功能可能存在无法正常预览加密文件的情况。因为这些软件的预览功能一般是下载到本地后打开预览。文件下载后会被自动落盘加密，故无法正常打开。加密文件仅可以被加密策略中配置的相关应用程序明文打开。

配置白名单列表 在“白名单列表”中，管理员可以添加特定的应用程序，此类应用程序不会被拦截。 如果想禁用部分在白名单中已放行的应用，管理员可在“禁用列表”中添加应用信息。 注：绑定白名单，扫描完成后，桌面内能够运行的程序有以下几种 1、扫描前在扫描范围内已经安装的应用。 2、白名单列表内的应用。 3、放行通过的应用以及它释放的程序。 4、签名为天翼云的相关应用。 步骤三：绑定桌面 创建规则后，点击右侧的“绑定”，可选择需要绑定该规则的桌面。绑定后，天翼AI云电脑（政企版）控制台将向所选桌面推送管控策略（绑定白名单规则后，桌面首次开机需要进行扫描），待桌面开机后进入管控状态。已绑定规则的桌面的管控状态也可在此页面中查看。 执行结果 步骤一：白名单下的应用放行流程 申请放行 用户在桌面内运行不在白名单内的应用会被阻止并出现提示弹窗，可在弹窗中查看详情或发起申请。有多个程序被阻止时，可批量操作。 注： 1、当运行某款应用时出现未执行也未被阻止的无响应状况，可能已被Windows系统默认为风险拦截。遇此情况，右键该应用，并在在属性中解除Windows拦截即可。 2、绑定黑名单规则时，被阻止的应用不允许申请放行。

Web应用防火墙（原生版） Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）基于三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。更多信息请参考++Web应用防火墙++ 配置方式： 如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产，并需要进行公网流量出入的互联网边界防护需求，您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙，并配置相关的互联网边界访问控制规则。具体操作，请参见++防火墙开关互联网边界防火墙++、++访问控制配置互联网边界防护规则++ 如果您拥有对等连接、云间高速、云专线等网络资产，并需要针对内网互访进行VPC边界防护，您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙，并配置相关的VPC边界访问控制规则。具体操作，请参见++防火墙开关VPC边界防火墙++、++访问控制配置VPC边界防护规则++

本文将为您介绍如何通过备份策略来立即执行备份的操作步骤。 操作场景 用户可手动执行备份策略，完成对此策略下云硬盘的立即备份。 前提条件 已创建至少1个备份策略。 备份策略至少已绑定1个云硬盘。 备份策略已经绑定至存储库。 约束与限制 如果此备份策略中的云硬盘正在执行备份任务，则无法手动立即执行备份策略。 如果此备份策略中的云硬盘所挂载的云主机正在执行云主机备份任务，则无法手动立即执行备份策略。 若手动备份任务正在进行中，但此备份策略的周期性备份调度计划开始工作，则系统会优先手动备份，取消当次周期性备份调度计划。建议两者之间的执行时间间隔≥3小时。 操作步骤 当前有两种方式来立即执行备份策略，分别在“云硬盘备份存储库”与“云硬盘备份策略”两个页签进行操作。 在云硬盘备份存储库页签执行 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，进入云硬盘备份页面。 4. 在“存储库”列表，单击相应的存储库名称，进入存储库详情页面。 5. 在“备份策略”页签中，选择相应的备份策略，单击操作列的“立即备份”。 6. 在立即备份弹出窗口中，单击“确定”，即可执行立即备份操作。

本文主要介绍如何采集Nginx日志。 Nginx日志是运维网站的重要信息，天翼云云日志服务支持通过Nginx分词模式快速配置Nginx日志采集规则。本文介绍如何通过云日志服务控制台创建Nginx接入配置。 前提条件 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“日志接入”，进入接入管理页面。 3. 在“数据导入”模块中，点击“Nginx日志”。 4. 根据nginx服务部署模式，选择接入场景为“云主机场景”或者“云容器引擎”场景。以下步骤以云主机场景为例，云容器引擎场景可参考云容器引擎接入说明。 5. 选择目标日志项目和日志单元，单击下一步。 6. 在选择主机组页面，选择目标主机组。 7. 在采集配置步骤中，提取模式选择“nginx模板分词”，Nginx日志配置、正则表达式以及抽取结果的配置说明如下表。其余配置字段可参考接入云主机文本日志。 字段 说明 Nginx日志配置 此处填写Nginx日志模版，通常以logformat开头，Nginx日志模版配置可前往/etc/nginx/nginx.conf或 /usr/local/nginx/conf/nginx.conf查看。如： c logformat main '$remoteaddr $remoteuser [$timelocal] ' '"$request" $status $bodybytessent ' '"$httpreferer" "$httpuseragent"'; 正则表达式 将根据上面的 Nginx 日志模板自动生成日志提取正则表达式，如： c (S+)ss(S+)s[(d+S+d+:d+:d+:d+)s+S+]s"(S+)s+(S+)s+S+"s(S+)s(S+)s"([^"])"s"([^"])". 样例日志 正则表达式下方的样例日志中填写一条实际的 Nginx 日志，用于验证上述提取模式配置是否正确。 抽取结果 点击样例日志右方的验证按钮，验证通过后，可为每个字段设定名称或直接使用默认值。 8. 创建索引。默认开启全文索引，您也可以根据需要手动创建字段索引用于字段查询。 9. 点击完成，即可完成导入任务创建。等待1分钟左右，在查询日志界面能查询到日志，则说明导入成功。

产品服务优势 自动开通 云监控服务无需购买和开通，在云资源创建成功后免费自动开通，您可直接到云监控控制台查看已购产品运行状态并设置告警规则。 全面监控 分钟级采集涵盖所有指标数据，进程级细粒度的指标变化感知能力，及时有效的云产品监控体验，通知随时触发随时响应。 灵活告警 提供自定义告警规则和告警通知功能，支持对多个云资源同时添加告警。告警规则支持随时修改，支持对告警规则进行启用、停止、删除等灵活操作。 实时通知 通过在告警规则中开启消息通知服务，当云服务的状态变化触发告警规则设置的阈值时，系统通过邮件实时通知用户，让用户能够实时掌握云资源运行状态变化。 历史可查 提供历史查询服务，用户可在控制台一键查询过去云监控产品的监控数据、告警历史数据。监控和告警历史数据均支持系统固定时长和自定义时长方式查看，历史记录回溯时间可长达一个月。 数据可视化 提供自定义监控面板能力，客户可将多个资源集中进行展示；通过多实例、多指标对比分析能力，满足客户各种场景下的监控数据的可视化需求。 产品功能视图 云监控功能资源池生效视图如下： 一级功能 二级功能 帮助文档链接 生效资源池范围 备注 监控概览 查看监控概览 部分资源池 监控面板 查看监控面板 全部资源池 资源分组 使用资源分组 部分资源池 主机监控 使用主机监控 全部资源池 云服务监控 使用云服务监控 全部资源池 云服务监控下特定产品监控需单独配置开通，如弹性文件监控、对象存储监控等 事件监控 系统事件 使用事件监控 部分资源池 网络分析与监控 站点监控 使用站点监控 部分资源池 当前为免费公测阶段，公测结束后会进行计费。具体计费方式关注云监控服务 网络分析与监控 一次性拨测工具 使用一次性拨测工具 全部资源池 告警服务 告警记录 查看告警记录 全部资源池 告警服务 告警模板 使用告警模板 全部资源池 告警服务 告警规则 使用告警规则 全部资源池 告警服务 告警联系人/组 使用告警联系人/组 全部资源池 告警服务 通知模板 使用通知模板 部分资源池 告警服务 告警黑名单 使用告警黑名单 部分资源池 告警服务 一键告警 使用一键告警 全部资源池 告警服务 通知记录 使用通知记录 全部资源池 智能巡检 使用智能巡检 部分资源池 任务中心 使用任务中心 全部资源池 数据订阅 使用数据订阅 部分资源池 当前为免费公测阶段，公测结束后会进行计费。具体计费方式关注云监控服务 套餐管理 告警服务计费总览 部分资源池 短信资源包已支持全部资源池，语音套餐包仅支持部分资源池 说明 "全部资源池"即为开通云监控服务的所有公有云资源池。

本章节为您介绍堡垒机首页相关内容 管理角色首页 使用管理角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数、应用数及待审批的工单数量。 审计角色首页 使用审计角色登录云堡垒机时可查看目前堡垒机下纳管的用户数、主机数以及历史会话数。 会话统计：图表显示目前堡垒机正在连接的会话数。 剩余会话：目前堡垒机剩余可连接的会话总数。 活跃人数：目前登录堡垒机的总用户数。 活动主机：目前正在连接的主机总数。

本小节介绍云堡垒机运维登录远程桌面提示“ 网络连接错误”操作指导。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > 弹性ip”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口，规则配置中原地址配置云堡垒机的IP地址。

服务名称 服务类别 终端节点服务类型 终端节点服务示例 说明 内网DNS 云服务 接口 cn.ctyun.cngz1.dns dns：实现通过终端节点访问内网DNS。 弹性负载均衡 用户私有服务 接口 无 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器 用户私有服务 接口 无 ECS：作为服务器使用。

本节主要介绍查看ip地址和端口 本页面要介绍如何在云数据库GeminiDB管理控制台查找GeminiDB Redis实例的IP地址和端口等信息。 操作步骤 1. 登录云数据库GeminiDB控制台。 2. 在“实例管理”页面，单击目标实例名称，进入基本信息页面。 1. 方法一 在“基本信息”页面下方节点信息列表中，即可查看到GeminiDB Redis实例下各个节点的内网IP地址或绑定的弹性公网IP。在网络区域可以查看到GeminiDB Redis实例的端口，默认为8635。 2. 方法二 您也可以单击实例“基本信息”左侧导航中的“连接管理”，即可查看到GeminiDB Redis实例的内网IP地址、绑定的弹性公网IP地址和端口。

如果您的云资源无需进行公网通信,您可以解除其与弹性IP的绑定关系。 操作步骤 1. 登录网络控制台。 2. 在顶部菜单栏处，选择共享带宽实例的地域。 3. 在左侧导航栏共享带宽，在共享带宽实例列表，单击目标共享带宽，进入共享带宽实例详情页。 4. 在下方列表中找到目标弹性IP实例的操作列，单击“解绑”。 5. 在解绑弹性IP对话框中，单击“确定”。

本文介绍专属云（存储独享型）的产品优势。 专属云（存储独享型）是一种独特的数据存储服务，可以确保数据的安全性和完整性，同时也可以提供更好的性能和更低的延迟。 资源独享 计算和存储资源独享，无须担忧资源竞争，可提供稳定可靠的底层基础。 安全可靠 物理资源隔离，数据三副本冗余，数据持久性高达99.9999999%。 磁盘支持备份功能 ，为用户提供了强大的数据保护，提高了数据的可靠性和灵活性。 弹性扩展 可根据业务需求按需扩容存储池，同时支持在线扩容存储专属云下的云硬盘，并且性能线性增长，满足业务需求。

本文帮助您快速熟悉虚开启/关闭虚拟私有云IPv6操作。 操作场景 开关/关闭虚拟私有云IPv6的操作仅在可用区资源池支持，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 如果虚拟私有云在创建时未开启IPv6，可以通过本文操作为虚拟私有云开启IPv6。 如果虚拟私有云已经开启IPv6，可以通过本文操作为虚拟私有云关闭IPv6。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在“虚拟私有云列表”界面，单击需要配置的虚拟私有云名称，进入详情页。 5. 在详情中点击“开启IPv6”状态开关，即可修改虚拟私有云开启IPv6状态。开启时，天翼云将为虚拟私有云分配IPv6地址段；关闭时，天翼云将删除为虚拟私有云分配IPv6地址段。 注意 如果虚拟私有云中已经创建子网，关闭虚拟私有云开启IPv6时，需要先将所有子网的开启IPv6关闭。可用通过

本节为Oracle RAC搭建最佳实践云网络、云硬盘、物理机资源规划进行说明。 云网络资源 网络配置 节点1 节点2 Public IP 192.168.0.31 192.168.0.32 Private IP 192.168.100.31 192.168.100.32 VIP 192.168.0.41 192.168.0.42 Scan IP 192.168.0.50 192.168.0.50 云硬盘资源 Oracle RAC使用的共享盘规划： Voting Disks: 330GB Data Disks: 41TB Oracle RAC软件安装盘： 每个节点需配置100GB的安装盘 物理机资源 本示例的Oracle RAC为两节点集群，使用2路28核、512GB内存的弹性裸金属两台。

操作场景 本节指导您基于Linux操作系统环境完成镜像文件快速导入，推荐使用云平台的HCE云服务器作为转换镜像格式和生成位表文件的环境。 Linux操作系统环境下，建议使用qemuimgctc工具进行镜像格式转换。 前提条件 1. 已完成镜像文件优化，详细操作请参考优化私有镜像（Windows）或优化私有镜像（Linux）；同时需要确保镜像文件符合Linux 操作系统的镜像文件限制中的限制条件。 说明 请根据镜像文件的操作系统类型来选择所参考内容。 2. 已在管理控制台创建HCE操作系统的弹性云服务器，并确保云服务器已绑定弹性公网IP。 3. 已在管理控制台创建OBS桶。 操作步骤 1. 上传镜像文件至云服务器。 1. 本地主机为Linux系统： 通过scp命令将镜像文件上传至云服务器。以将“image01.qcow2”文件上传至云服务器的“/usr/”目录下为例。 scp /var/image01.qcow2 root@xxx.xxx.xx.xxx:/usr/ 其中，xxx.xxx.xx.xxx为云服务器的弹性公网IP。 2. 本地主机为Windows系统： 使用文件传输工具（例如WinSCP）将镜像文件上传至云服务器。 2. 获取镜像转换工具（qemuimgctc.rar）和位表文件生成工具（CreateMF.zip），并上传至云服务器，然后解压工具包。 3. 使用qemuimgctc工具转换镜像格式。 1. 进入qemuimgctc存放目录，以存放在“/usr/qemuimgctc”为例： cd /usr/qemuimgctc 2. 执行以下命令修改权限： chmod +x qemuimgctc 3. 执行qemuimgctc命令将镜像文件转为zvhd2或raw格式（推荐转为zvhd2格式）。 qemuimgctc命令格式： ./qemuimgctc convert p O {目标镜像格式} {待转换镜像文件} {目标镜像文件} 以将“image01.qcow2”格式文件转换成“image01.zvhd2”格式为例： ./qemuimgctc convert p O zvhd2 image01.qcow2 image01.zvhd2 若转换后为zvhd2格式文件，请执行步骤5。 若转换后为raw格式文件，请使用CreateMF.jar工具，生成raw格式镜像文件的位表文件。请执行步骤4。 4. 使用CreateMF.jar工具生成位表文件。 1. 请确保当前云服务器已安装jdk。 执行以下命令查看是否已安装jdk： source /etc/profile java version 如果回显信息中显示java版本信息，证明当前云服务器已安装jdk。 2. 执行以下命令进入CreateMF.jar程序所在的目录。 cd /usr/CreateMF 3. 执行以下命令生成位表文件。 java jar CreateMF.jar /原raw文件路径 /生成的mf文件路径 例如： java jar CreateMF.jar image01.raw image01.mf 5. 使用s3cmd工具上传文件至OBS桶。 1. 安装s3cmd工具。 若云服务器已安装该工具可跳过此步骤，直接按照步骤b配置s3cmd： 1. 执行以下命令，安装setuptools。 yum install pythonsetuptools 2. 执行以下命令，安装wget。 yum install wget 3. 执行以下命令，获取s3cmd软件包。 wget mv master.zip s3cmdmaster.zip 4. 执行以下命令，安装s3cmd。 unzip s3cmdmaster.zip cd s3cmdmaster python setup.py install 2. 配置s3cmd工具。 执行以下命令配置s3cmd工具。 s3cmd configure Access Key: 输入AK Secret Key: 输入SK Default Region: 输入所在Region S3 Endpoint: 可参考OBS的Endpoint DNSstyle bucket+hostname:port template for accessing a bucket: 输入带桶名的Server地址，例如mybucket.obs.myclouds.com Encryption password: 不填，直接按回车 Path to GPG program: 不填，直接按回车 Use HTTPS protocol: 是否使用HTTPS，Yes/No HTTP Proxy server name: 代理地址，连接云平台需要连外网（如不需要直接回车） HTTP Proxy server port: 代理端口，连接云平台需要连外网（如不需要直接回车） Test access with supplied credentials? y （如果显示：Success. Your access key and secret key worked fine :) 则表示连接成功） Save settings? y（是否保存配置） 说明 配置完成后，信息会保存在用户目录下“/root/.s3cfg”，如果还想修改，可以重新执行s3cmd configure命令，或者直接编辑.s3cfg文件（执行vi .s3cfg命令进行编辑）。 3. 使用s3cmd命令上传zvhd2格式镜像文件到OBS桶，或者上传raw格式镜像文件及其位表文件到OBS桶。 s3cmd put image01.zvhd2 s3://mybucket/ 注意 .mf位表文件必须和其对应的raw格式镜像文件在同一个OBS桶中。 6. 注册私有镜像。 您可以通过控制台方式、API接口方式，将转换后的zvhd2或raw文件注册为私有镜像。 方法一：通过控制台创建私有镜像 1. 登录IMS控制台。 1. 登录管理控制台。 2. 选择“计算 > 镜像服务”。 进入镜像服务页面。 2. 单击右上角的“创建私有镜像”。 3. 在“创建方式”区域，选择镜像的创建方式为“导入私有镜像”。 4. 在“镜像类型”区域，选择镜像类型为“系统盘镜像”或“数据盘镜像”。 5. 在“选择镜像文件”区域，从列表中选择存放转换后zvhd2或raw格式镜像文件的桶，再选择转换后的镜像文件。如果是raw格式镜像文件，需要确保同名位表文件已上传。 6. 勾选快速通道栏的“开启快速通道”，并确认已优化镜像文件，然后勾选“镜像文件准备”栏的内容。 7. 根据界面提示填写配置信息。 具体的配置参数说明，请参见通过外部镜像文件创建Linux系统盘镜像。 注意 操作系统必须要和镜像文件所含的操作系统一致。 系统盘大小必须大于镜像文件的大小。 通过qemuimgctc工具可查询镜像文件大小：qemuimgctc info test.zvhd2 方法二：通过API方式创建私有镜像 您可以通过接口POST /v2/cloudimages/quickimport/action，实现镜像文件快速导入功能。

本文为您介绍深信服防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctSang4 IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录深信服防火墙的Web管理页面，单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第一阶段 ，单击列表上方的“新增”按钮，根据天翼云IPsec连接的IKE协议信息配置防火墙的第一阶段配置。 2. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第二阶段 ，单击“入站策略”列表上方的“新增”按钮，根据天翼云IPsec连接的网络信息，配置防火墙的第二阶段入站策略。 3. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第二阶段 ，单击“出站策略”列表上方的“新增”按钮，根据天翼云IPsec连接的网络信息，配置防火墙的第二阶段出站策略。 4. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 安全选项 ，查看是否有与天翼云IPsec连接配置相同的认证算法与加密算法组合；如果没有，请单击列表下方的“新增”按钮添加一个算法组合，或单击列表后面的“编辑”进行修改，使算法与天翼云IPsec连接中的配置相同。 5. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本章节介绍配置中心迁移方案 原生Nacos迁移至MSE MSE Nacos相对于开源Nacos额外提供了配置加密、推送轨迹等功能，保障高可用，并提供了丰富的运维工具，操作十分方便。本节介绍从开源Nacos迁移到天翼云Nacos实例。 前提条件 1. 已经创建Nacos实例，参考章节：创建Nacos实例。 2. 已经在Nacos实例上创建需要迁移的命名空间。 迁移配置 1. 在开源控制台导出需要迁移的配置。 登陆开源Nacos自带的原生控制台。 在配置列表页面选择命名空间，点击单选框选中需要迁移的配置。 在配置列表下方点击导出，然后选择导出选中的配置。 然后在下载中可以看到导出的压缩包文件nacosconfigexportxxxxx.zip。 2. 在MSE控制台页面导入配置。 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 在左侧导航栏，选择注册配置中心 > 实例列表。 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 在基础信息页面，点击配置管理>配置列表，选择命名空间。 点击导入配置，在弹出的导入配置框中确认目标命名空间，选择相同配置的处理策略（策略详细介绍见同步配置），点击上传配置文件，最后点击确定，即可开始导入文件。 导入后查看配置列表，可以看到配置已经导入成功。 3. 在应用完成迁移以前，如果需要变更配置文件，则需要在两边同步更新，以避免业务出现不一致的情况。

本节主要介绍如何在智能视图服务控制台管理AI应用。 如果想使用智能分析服务，需要创建AI应用，并为要进行AI分析的设备绑定AI应用。 点击左侧导航栏的【AI管理AI应用】，可以查看平台的所有AI应用列表，包括算法类型、分析类型、描述、关联设备数等信息，用户可以进行查看/编辑/删除应用、查看分析结果和告警统计等操作。 创建AI应用 点击【新建AI应用】按钮，用户选择想要使用的AI算法，目前天翼云智能视图服务支持的算法包含人脸识别、人体识别和场景识别三种类别，也可以在右上角输入算法名称或者算法描述关键字进行搜索，找到目标算法后点击【选择】，进入下一步。 输入自定义应用名称并完成应用配置，包含以下配置项。 分析类型：包含分钟级、秒级和高算力型。 生效时段：支持配置AI分析时段，可选择全天或者指定时间段，支持添加多个生效时间段。 置信度：置信度越高，则会提升告警结果的准确率，但会存在漏检的情况；置信度越低，则可以捕捉到更多可能的告警，但会存在更多误检的情况。 告警配置：开启后可优化AI告警信息频繁的情况，自定义设置静默规则，包括告警周期、告警数量阈值和静默时间，可以压缩AI告警信息。

场景 描述 相关链接 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速节点之间请求的HTTPS加密，保障数据传输的安全性。 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 海外加速 开启海外加速，可满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

家庭管理 “翼家”默认对天翼量子AI云电脑（公众版）开放，家长可通过手机号邀请成员或管理员加入家庭管理。组建家庭关系后，家长和管理员可对家庭成员AI云电脑查看学习、绿色管控、远程接入、解绑AI云电脑等操作，详细见翼家帮助文档。 注意：提示：政企版翼家功能默认关闭，如需开通请联系运维或邮件申请，将【企业租户账号】和【所在资源池】通过翼连>AI云电脑项目支撑中心>工作台>AI云电脑附加功能申请或邮箱发送至clouddesktop@chinatelecom.cn。 6. 全屏/窗口化 （1）Windows系统客户端、MacOS系统客户端默认全屏，支持切换窗口化操作。 （2）Ubuntu瘦终端，安卓瘦终端（安卓盒子、一体机、云笔电）仅支持全屏模式，不支持全屏/窗口化切换。 7. 运行模式 常规模式：不限制终端本地系统功能，可以在本地系统和客户端之间自由切换。 锁定模式：屏蔽本地系统所有功能，无法切换到本地系统，无法使用本地的应用及资源。 注意：MAC客户端不支持。 8.

参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明： 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

问题描述 随着产品的不断发展，CCE标准输出日志默认采集到应用运维管理（AOM）已不推荐使用，但为了兼容老用户使用习惯，该默认配置未修改。如果该默认配置不符合您的使用要求，须在云日志服务（LTS）控制台进行关闭。推荐您将CCE标准输出日志直接采集到云日志服务（LTS），由LTS对日志进行统一管理。 说明 关闭CCE标准输出到AOM后，您在云日志服务（LTS）中配置的CCE标准输出采集到LTS才会生效。 解决办法 步骤 1 在云日志服务（LTS）控制台，单击左侧导航栏“主机管理”。 步骤 2 选择“主机”页签，单击“CCE集群”。 步骤 3 在CCE集群中，选择您需要关闭标准输出到AOM的CCE集群，关闭采集容器标准输出到AOM按钮。 步骤 4 单击“确定”，待ICAgent重启完成后，已关闭CCE标准输出到AOM。

操作场景 镜像是一种区域性资源，私有镜像归属于其被创建时的区域，如果需要在其他区域使用某一私有镜像，可以通过跨区域复制镜像功能实现。 跨区域复制镜像的典型场景为系统环境多区域部署，以应对系统高可用的趋势。部署方式通常需要多区域部署，快速实现跨区域复制云主机的方法之一便是通过复制镜像将一个镜像复制到其他区域，然后使用私有镜像快速部署云主机。 背景知识 跨区域复制适用于跨区域部署云主机，或者跨区域备份数据，常和共享镜像结合使用，以达到跨区域跨账号复制镜像的目的。 镜像跨区域复制所需的时间与网络速度、镜像大小、并发任务数等因素有关，需要您耐心等待。 支持一次选择多个镜像进行跨区域复制，但是ISO镜像、加密镜像、整机镜像以及状态为“创建中”或“已冻结”的镜像不允许此操作。 跨区域复制需要提供IAM委托，该委托必须同时具备目的镜像区域的项目创建权限（IMS Administrator或者Tenant Administrator）。 例如：用户想从Region A复制到Region B，则添加的委托必须具备Region B的IMS Administrator的权限。 约束与限制 支持系统盘镜像和数据盘镜像跨区域复制的区域：西安2支持单向复制到华北、西安2支持单向复制到贵州、华北和贵州支持双向复制、广州和苏州支持双向复制； 对于整机镜像，不支持跨区域复制的情况，您可以使用整机镜像创建云主机，再分别创建系统盘镜像和数据盘镜像，然后跨区域复制到目标区域，实现整机镜像的跨区域复制功能。 跨区域复制镜像仅适用于私有镜像。如果您需要复制其他类型的镜像（如公共镜像），可先使用镜像创建云主机，再使用该云主机创建私有镜像，然后复制该私有镜像。 IAM用户如需使用跨区域复制功能，必须具备IAM ReadOnlyAccess权限，并同时具备源区域和目的区域的IMS FullAccess权限。 跨区域复制镜像的大小限制如下： 用于跨区域复制的镜像不能超过128GB。 每个用户只能同时跨区域复制5个镜像。 暂不支持跨区域复制ISO镜像、加密镜像。

本文主要介绍 快照与备份。 CCE通过云硬盘EVS服务为您提供快照功能，云硬盘快照简称快照，指云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。 您可以创建快照，从而快速保存指定时刻云硬盘的数据。同时，您还可以通过快照创建新的云硬盘，这样云硬盘在初始状态就具有快照中的数据。 使用须知 快照功能仅支持v1.15及以上版本的集群，且需要安装基于CSI的Everest插件才可以使用。 基于快照创建的云硬盘，其子类型（普通IO/高IO/超高IO）、是否加密、磁盘模式（VBD/SCSI）、共享性(非共享/共享)、容量等都要与快照关联母盘保持一致，这些属性查询和设置出来后不能够修改。 只有可用或正在使用状态，且存储格式为CSI的磁盘才能创建快照。快照免费试用期间，单个磁盘最大支持创建7个快照。 加密磁盘的快照数据以加密方式存放，非加密磁盘的快照数据以非加密方式存放。 使用场景 快照功能可以帮助您实现以下需求： 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 快速恢复数据 更换操作系统、应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云主机A的系统盘 A发生故障而无法正常开机时，由于系统盘 A已经故障，因此也无法将快照数据回滚至系统盘A。此时您可以使用系统盘 A已有的快照新创建一块云硬盘 B并挂载至正常运行的云主机 B上，从而云主机 B能够通过云硬盘 B读取原系统盘 A的数据。 说明 当前CCE提供的快照能力与K8S社区CSI快照功能一致：只支持基于快照创建新云硬盘，不支持将快照回滚到源云硬盘。 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。

体检IP管理说明，包括添加、删除、搜索、刷新等功能。 体检IP是您在天翼云上订购的，且已绑定云主机的弹性IP（EIP），您可以根据资源池选择弹性IP，并添加到体检IP列表，后续每次体检任务，将检测体检IP列表的所有IP的安全状况。 添加体检IP 1. 点击体检IP列表右上角“添加”按钮，打开添加体检IP对话框。 2. 选择资源池，等待系统自动获取EIP信息。 注意 已在体检IP列表中且未完成绑定的EIP信息不在此显示。 资源池：选择资源池时，如果您通过下拉无法快速选择到目标资源池，您可通过输入资源池名称，快速检索所有资源池。比如您希望选择北京1资源池，则输入“北”，则可快速检索出“北XXX”资源池。 IP地址：如果您所选资源池内含有大量EIP信息，无法快速定位，同样可通过搜索功能快速检索EIP信息，搜索功能支持模糊搜索。点击“刷新”按钮，可立即刷新当前选定资源池下的EIP信息。 3. 您根据业务需求，选择需要添加至体检IP列表内的IP地址，点击“确定”，即可完成添加。 删除体检IP 单个删除：点击每条IP地址操作列的删除图标，删除一条体检IP。 批量删除：多选IP地址后，选择右上角“批量删除”按钮，快速删除多条体检IP。删除多条IP地址时，需要二次确认，点击确定后，即可完成删除操作。

本文主要介绍云日志服务如何进行通知策略管理。 通知策略包含通知对象、通知模板与通知时段，当告警触发时，只要不符合静默策略，就会根据所配置的通知策略在对应渠道发送告警信息给对应的通知对象。本文介绍如何创建通知策略。 前提条件 已完成通知组配置，详情请查看通知组管理。 操作步骤 1. 登录云日志服务控制台。 2. 左侧导航栏点击告警管理通知策略模块。 3. 点击【创建通知策略】。 4. 在页面中输入通知策略名称。 5. 点击【添加通知对象】，可添加联系人、联系人组、翼连、webhook四种类型的通知对象，每种类型下可添加具体通知对象。 6. 检查通知模板，您可根据实际情况修改不同渠道的通知模板内容。 7. 设置通知时段，告警信息只在您配置的时段进行通知，不配置默认全天通知时段。 8. 点击【确定】，完成通知策略创建。

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

本节介绍分布式消息服务RocketMQ相关的产品规格,以便您正确理解和使用。 （1）以下适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 注意 通用型规格已调整为白名单特性，如需了解该规格参数请联系技术支持。 ctgmq引擎已调整为白名单特性，如需了解该引擎请联系技术支持。 单机版实例面向用户体验和业务测试场景，无法保证性能和高可用。如果需要在生产环境使用RocketMQ实例，建议购买集群版实例。 天翼云分布式消息服务RocketMQ版产品规格由以下五个维度定义： 资源规格：定义使用的弹性云服务器的规格类型。 代理个数：即Broker数量，定义实例的规模，天翼云分布式消息RocketMQ每个Broker由一个Master节点（主节点）和一个Slave节点（备节点）组成，详细见产品架构。 存储容量：定义单个代理可以保存的存储容量。 单个代理TPS：定义单个代理的TPS性能。 单个代理消费组数上限：定义单个代理可以创建的消费组数量。 天翼云分布式消息服务RocketMQ支持的产品规格如下所示： 说明 TPS（Transaction per second）是指每秒可以生产消息和消费消息的总次数，可以理解为对应规格每秒生产消息和消费消息的总吞吐量。

本文主要介绍如何开通云日志服务。 在使用天翼云云日志服务前，您需要先开通服务。开通服务不收取任何费用，开通后将根据实际用量进行计费，计费详情请查看计费说明。 前提条件 具备已通过实名认证的天翼云账号 账号中需要有100元及以上的余额 已支持开通的资源池 华东1、南昌5、杭州7、长沙42、华南2、西安7、西南1、西南2贵州、华北2、郑州5、太原4 操作步骤 1. 登录天翼云官网，进入控制中心。 2. 在控制中心选择目标资源池。 3. 在云原生可观测分类中，选择云日志服务，点击购买图标。您也可以直接点击此处进行开通。 4. 在订购开通页中点击【下一步】，并提交订单。 5. 提交后稍等片刻，待页面提示开通成功后，即可进入云日志服务控制台。您也可直接点击此处进入云日志服务控制台。