云助手命令可以在弹性云主机或物理机实例中快速完成运行自动化运维脚本、安装或卸载软件、更新应用以及安装补丁等一些日常任务。命令类型可以是Windows PowerShell脚本、Bat批处理命令、Python脚本和Linux Shell脚本,命令中支持自定义参数,方便设置变量值。 使用限制 在同一地域下，您可以保存500条云助手命令。 创建的脚本大小不能超过24KB。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择我的命令标签页，如下图所示： 3. 点击创建命令按钮，如下图所示： 4. 填写命令名称、命令内容、选择命令类型、填写命令参数等。 5. 填写完成后点击保存按钮保存命令。 参数说明 参数 说明 是否必填 命令名称 设置命令名称，长度不超过128个字符。 是 命令类型 按需选择命令类型。 是 命令描述信息 按需填写命令描述信息，长度不超过512个字符。 否 执行路径 自定义命令的执行路径。 Linux 实例默认路径为 root 用户的 /tmp/ 目录。 Windows 实例默认路径为 System 权限的 C:/Windows/System32/ 目录。 是 执行用户 自定义执行命令的用户。 Linux 实例默认为 root 用户。 Windows 实例默认为 System 用户。 是 超时时间 设置命令在实例中的超时时间，当执行命令的任务超时后，云助手将强制终止任务进程。单位为秒，默认为60秒，取值范围为[10, 86400]。 是 命令内容 编辑或者粘贴您的命令。 是 使用参数 是否在命令中使用参数，自定义参数不能超过20个。 否

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本章节介绍云容器集群Pod网络包重复故障演练。 背景介绍 在 CCE 集群中，网络异常可能导致数据包被重复发送，既消耗带宽和 CPU，也可能触发非幂等业务的重复执行。本演练用于模拟此场景并验证系统的处理能力与幂等性。 基本原理 通过增加TC和Netem规则模拟Pod内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云主机磁盘填充故障演练。 背景介绍 由失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云主机磁盘空间被耗尽（例如使用率超过95%）。这种情况会直接导致应用无法写入新数据、服务功能异常甚至进程崩溃。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充文件的写入目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：填充至指定的空间占用率（取值 1100），例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

填写存储openapi使用的azName，必须与云硬盘所在的可用区一致。 persistentVolumeReclaimPolicy: "Delete" volumeMode: "Filesystem" 参数说明： volumeHandle：格式为0208{PVNAMESUFFIXLENTH}{PVNAMESUFFIX} DISKID表示P云硬盘的diskID，可以在云硬盘控制台获取。 DISKIDLENTH为16进制，表示diskID的长度。 例如DISKID是"5c1fae45d5f94088abaf4a59de3ffcce"，则DISKIDLENTH为24 执行以下命令，创建PV plaintext kubectl apply f pvexample.yaml 查看创建的PV：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷”，在持久卷列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvcdisk namespace: default spec: accessModes: ReadWriteOnce resources: requests: storage: 10Gi volumeMode: Filesystem volumeName: {YOURPVNAME} 替换PV名称 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1"kind: "StatefulSet"metadata: name: "teststs"spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcdisk" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

本节介绍如何配置日志。 您可以将攻击事件日志、访问控制日志、流量日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的CFW日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。 说明 防火墙支持通过“日志查询”查看并导出最近7天的日志数据，请参见“日志查询”。 LTS按流量单独计费。 配置日志 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面。开启对接云日志服务。 5. 创建日志组和日志流。操作步骤请参见“云日志服务> 快速入门 > 创建日志组和日志流”。 说明 为方便后续查看，建议您： 创建日志组时加入cfw为后缀。 创建日志流时分别为攻击事件日志、访问控制日志、流量日志加入attack、access、flow为后缀。 6. 选择已创建的日志组和日志流。选择日志组，开启并选择日志流，单击“确定”，完成日志配置。 说明 攻击、访问、流量日志的格式均不一样，需配置不同的日志流分别记录。 攻击日志：记录攻击告警信息，包括攻击事件类型、防护规则、防护动作、五元组、攻击payload等信息。 访问日志：记录命中ACL策略的流量信息，包括命中时间、五元组、响应动作、访问控制规则等信息。 流量日志：记录所有通过云防火墙的流量信息，包括开始时间、结束时间、五元组、字节数、报文数等信息。

本小节介绍云下一代防火墙配置登录方式指导。 云下一代防火墙需要云主机承载，如需正常被外网访问，需在安全组下放行云下一代防火墙web登录访问端口。 注意 图例安全组做了any放行，后期具体配置还请根据业务需求做端口放行，不建议开启any。 打开浏览器，地址栏输入 说明 该用户名密码与后台登录用户名密码一致。 初始用户名密码请提交工单咨询。

使用数据库备份前需要先更改安全组。本章节介绍如何手动配置更改安全组。 背景说明 安全组是一个逻辑上的分组，为同一个虚拟私有云VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 当创建安全组时，需要用户添加对应的入方向和出方向访问规则，放通启用数据库备份需要的端口，以免数据库备份失败。 操作说明 使用数据库备份前需要先更改安全组。云主机备份为了您的网络安全考虑，在使用前未设置安全组入方向，需要您手动进行配置。 安全组的出方向需要设置允许100.125.0.0/16网段的165535端口，入方向需要设置允许100.125.0.0/16网段的5952659528端口。出方向规则默认为0.0.0.0/0，即数据报文全部放行。若未修改出方向默认规则，则无需重新设置。 操作步骤 步骤1、登录弹性云主机控制台。 1.登录管理控制台。 2.单击管理控制台右上角的，选择区域和项目。 3.选择“计算 > 弹性云主机”。 步骤2、单击左侧导航树中的“弹性云主机”，在服务器界面选择目标服务器。进入目标服务器详情。 步骤3、选择“安全组”页签，选择目标安全组，弹性云服务器界面单击列表右侧“更改安全组规则”。 步骤4、在安全组界面，选择“入方向规则”页签，单击“添加规则”，弹出“添加入方向规则”对话框。选择“TCP”协议，在“端口”中输入“5952659528”，在源地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成入方向规则设置。 步骤5、选择“出方向规则”页签，单击“添加规则”，弹出“添加出方向规则”对话框。选择“TCP”协议，在“端口”中输入“165535”，在目的地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成出方向规则设置。

本文为您介绍云主机热变配的规则、限制及注意事项等。 热变配，即开机变配，是指云主机在运行中状态下进行变更规格的操作。热变配规则如下： 仅支持热升配，不支持热降配。 仅支持vCPU在32C及以上的规格进行热升配。 仅支持7代机/6代机/3代机进行同代热升配，即变更为同代系更大规格。例如，支持s3.8xlarge.2热变配为s3.8xlarge.4，不支持s3.8xlarge.2热变配为s6.8xlarge.4。 仅支持S类型之间、C/M类型之间进行同类型热升配，不支持跨类型热升配。例如，支持c3.8xlarge.2热变配为c3.8xlarge.4，支持c3.8xlarge.2热变配为m3.8xlarge.8，不支持s6.8xlarge.2热变配为c6.8xlarge.4。 支持热变配的镜像列表： 系统 版本 CentOS CentOS 7.2 64位 CentOS CentOS 7.3 64位 CentOS CentOS 7.4 64位 CentOS CentOS 7.5 64位 CentOS CentOS 7.6 64位 CentOS CentOS 7.7 64位 CentOS CentOS 7.8 64位 CentOS CentOS 8.0 64位 CentOS CentOS 8.1 64位 CentOS CentOS 8.2 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 ARM版 CTyunOS CTyunOS 323.01 64位 存量云主机，即在热变配功能上线前已开通的云主机，不支持热变配。 已加入云主机组的云主机不支持热变配。 注意 热变配过程约在15~60秒，并且可能对业务有一定影响，例如可能造成读业务性能下降约10%，持续时间不超过5秒。规格跨度越大变配耗时越久、业务影响越大，请您根据自身业务情况谨慎操作。 请勿连续进行热变配操作，建议两次热变配操作至少间隔五分钟。 部分资源池由于版本问题可能不支持热变配，如遇相关问题可联系天翼云客服。

本文主要介绍远程连接Linux云主机报错:Permission denied如何处理。 问题现象 远程连接Linux云主机报错：Permission denied 图 Permission denied 说明 修改此问题需要重启进入救援模式，请评估风险后进行操作。 本节操作涉及云主机重启操作，可能会导致业务中断，请谨慎操作。 根因分析 /etc/security/limits.conf中的nofile 用来设置系统允许打开的最大文件数目，如果nofile值大于PermissionDenied.png内核设置的fs.nropen参数值（默认为1048576），会导致登录校验错误，导致登录云主机时提示“Permission denied”。 处理方法 1.进入云主机的单用户模式。 以CentOS 7操作系统为例： a.重启云主机，单击“远程登录”。 b.按上方向键，阻止系统自动继续，在出现内核选项时按字母键e进入内核编辑模式。 图 进入内核编辑模式 说明 Euler镜像默认对grub文件进行了加密，进入编辑内核模式时会提示：Enter username，需要输入用户和密码，请联系客服获取。 c.找到linux16行末尾，删除不需要加载的参数到ro参数。 d.修改ro为rw，以读写方式挂载根分区。 e.并添加rd.break，然后执行Ctrl+X。 图 修改前 图 修改后 f.执行以下命令切换至/sysroot目录。 chroot /sysroot 2.执行以下命令，查询内核的fs.nropen值。 sysctl fs.nropen 3.编辑 /etc/security/limits.conf，修改配置的nofile值为合理的值，需小于2中查询的fs.nropen值，例如65535。 vi /etc/security/limits.conf 说明 limits.conf 文件实际是Linux PAM（插入式认证模块，Pluggable Authentication Modules）中pamlimits.so 的配置文件。更多详细配置信息请查看man手册，执行：man limits.conf 4.重启服务器，重试连接云主机。

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境 简介 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 Linux实例手工部署LNMP环境具体操作步骤如下： 1.安装nginx。 2.安装MySQL。 3.安装PHP。 4.浏览器访问测试。 前提条件 1.弹性云主机已绑定弹性公网IP。 2.弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 表 安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 1.安装nginx。 a.登录弹性云主机。 b.执行以下命令，下载对应当前系统版本的nginx包。 wget c.执行以下命令，建立Nginx的yum仓库。 rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm d.执行以下命令，安装Nginx。 yum y install nginx e.执行以下命令，启动Nginx并设置开机启动。 systemctl start nginx systemctl enable nginx f.查看启动状态。 systemctl status nginx.service g.使用浏览器访问“ 图 测试访问nginx

本章节介绍云主机DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而引发流量劫持、服务中断或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验系统的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的域名。 映射IP：将目标域名解析到该IP地址。

本节介绍云等保专区产品的应用场景。 等保合规场景 场景特点 随着《网络安全法》、《信息安全技术网络安全等级保护基本要求》以及各个行业法律法规的发布，用户对于网络安全建设的重视程度日渐提升，等级保护建设逐渐成为了网络安全建设的基线，各行各业的用户都在开始进行等级保护合规建设。 解决的问题 云等保专区产品为更好更快捷地帮助用户完成等级保护建设，特地推出等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版套餐，用户仅需要根据自己实际合规等级需要，通过勾选对应套餐，就能够轻松通过等保二级、三级测评，满足等保合规要求。 安全加固场景 场景特点 用户开通云主机将业务部署完成后，需要对于云上业务进行安全加固防护，会使用到安全产品的能力，例如下一代防火墙的访问控制能力、Web应用防火墙的Web应用攻击防护能力、主机安全的漏洞检测与防护能力等。 解决的问题 云等保专区专项推出等保自定义版，能够提供下一代防火墙、Web应用防火墙、日志审计、主机安全、堡垒机、数据库审计以及漏洞扫描等原子能力，用户可根据自己当前云业务网络安全建设的薄弱点以及安全加固防护的需求，进行自主选择需要的安全原子能力进行安全加固建设。

本章节主要介绍云搜索服务（ES）的计费模式。 计费项 云搜索服务对您选择的实例规格和使用时长计费。 云搜索服务计费说明 计费项 计费说明 : 节点实例 实例类型及规格（核数，内存），购买时长以及所购买的实例数量。 节点存储 磁盘类型： 您可以根据具体的业务场景选择对应的磁盘类型，不同的磁盘类型收费标准不一样。 云搜索服务提供了多种磁盘类型： 普通I/O、高I/O、超高I/O。 带宽 带宽大小： 当您对集群开通公网访问或者Kibana公网访问功能时，会产生带宽计费。 云搜索服务提供了两种带宽类型： 低带宽(05Mbit/s)、 高带宽(62000Mbit/s) ，根据您选择的带宽大小，计费时会自动归类到低带宽或者高带宽。 计费方式 按需计费 按需计费方式，即按实际使用时长计费，以自然小时为单位整点计费，不足一小时按一小时计费。这种购买方式比较灵活，可以即开即停。 包周期计费 根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为13年。 说明 目前部分资源池暂不支持包周期计费模式，请以订购页各资源池实际支持的计费模式为准。 对暂不支持包周期计费的资源池，我们将按计划逐步上线相应计费能力。 计费方式变更 暂不支持按需计费、包周期计费互相转换，相关能力正在开发调试中。 到期欠费

优势 提供tier3~5+级灾备能力，核心产品可实现最高容灾等级6级。 提供全场景灾备能力，面向云内灾备、跨云灾备等场景，借助云平台IaaS层PaaS层云服务提供的负载调度、主备、双活、备份等产品能力，提供完整的灾备解决方案。 提供灾备咨询+交付专业技术能力，为客户提供业务调研、灾备方案设计、灾难恢复管理体系建设、容灾演练、系统运维等端到端灾备能力建设服务。 混合云场景中可提供机房级别容灾能力，平台内可直接操作主机、数据库、存储等云资源的跨机房的同步、切换、回切等动作。

本文向您介绍Linux虚机productuuid参数是否可以修改 productuuid是计算机唯一标识符（UUID），是一种用于标识计算机硬件的数字代码。 在云平台上，Linux云主机的productuuid参数是由虚拟化层模拟的硬件参数，通常情况下不同云主机之间的productuuid不会重复，也无法修改。

本文概括介绍天翼云CDN访问控制相关的功能及使用场景。 概述 访问控制配置模块主要介绍天翼云CDN可用于限制用户访问的相关功能。 功能简介 访问控制相关功能主要包括：Referer防盗链、IP黑白名单、UA黑白名单、URL鉴权配置、远程同步鉴权、带宽控制，IP访问限频，单请求限速等，可满足客户不同程度的防盗链需求，以及通过控制总加速带宽进而控制成本。 功能 说明 Referer防盗链 Referer防盗链是基于HTTP请求头中Referer字段来设置访问控制规则，实现对用户来源的识别和过滤，防止网站资源被非法盗用。 IP黑白名单 客户端IP是客户端与CDN节点建立连接时所使用的IP，通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL鉴权配置 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，CDN会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 远程同步鉴权 可以通过配置远程同步鉴权功能，在CDN节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，CDN节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 带宽控制 带宽控制功能可通过设置总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 单请求限速 单请求限速功能可以限制CDN节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。

本文为您介绍如何对天翼云关系数据库MySQL版实例执行主备切换操作。 操作场景 天翼云关系数据库MySQL版主备实例和一主两备实例支持高可用切换功能。当主备实例的主节点不可用时，如发生虚拟机、硬盘、网络等故障时会触发自动主备切换（即故障切换），切换后实例访问地址保持不变。 此外，您可根据一些特殊的业务需要，手动触发主备切换。 前提条件 实例类型需为主备实例或一主两备实例（非MGR），单机和只读实例不支持主备切换。 实例状态为运行中。 背景信息 故障切换也叫计划外的切换。当主机出现故障时，系统会在1～5分钟内自动切换到备机，切换后主备实例的连接IP地址不变，整个过程无需人工干预。切换过程中不可访问，需要您设置好程序跟关系型数据库服务的自动重连，避免因为切换导致服务不可用。 手动切换也叫计划内的切换。当实例运行正常时，用户可以自主手动触发主备切换，以满足业务需求。 影响 主备实例切换过程中，实例会发生1到2次连接闪断， 请确保应用程序具备重连机制并谨慎操作。 主备切换后，请注意对业务进行预热，避免业务高峰期出现阻塞。 如果实例下挂载有只读实例，则主备实例切换后，只读实例的数据会有几分钟的延迟，因为需要重建复制链路、同步增量数据等。 如果主从复制时延大于300s，将无法下发主备切换任务。

本文介绍天翼云SQL Server对外提供的存储过程。 注意事项 本文介绍的存储过程不包括SQL Server本身自带的系统存储过程，仅介绍天翼云SQL Server对外提供的存储过程。 仅高权限账号root有权限执行以下存储过程，普通账号无权限执行。 创建Login账号 说明 该存储过程仅支持开通时间在20240828及之后的实例，若您的实例在此日期之前开通且需要使用以下存储过程，请通过咨询工单申请。 如果为主备实例，使用后仅在主节点上创建账号。如实例发生过主备切换，且仍需要使用该账号，请在切换后再次执行。 使用该存储过程创建的账号与控制台普通账号具有相同的权限。 操作步骤 执行以下命令，创建账号。 exec msdb.dbo.TYYCreateLogin '@loginName', '@password'; @loginName：创建的账号的登录名。 @password：创建的账号的密码。 账号创建成功后，系统将会提示： create Login [loginName] success 创建数据库 操作步骤 执行以下命令，创建数据库。 exec msdb.dbo.TYYCreateDatabase '@dbName', '@charset'; @dbName：创建的数据库名称。 @charset：创建的数据库的支持字符集。 数据库创建成功后，系统将会提示： create database [dbName] success 变更数据捕获（CDC） 说明 该存储过程仅支持开通时间在20240828及之后的实例，若您的实例在此日期之前开通且需要使用以下存储过程，请通过咨询工单申请。 该存储过程仅支持变更库级数据捕获，变更表级数据捕获请通过spcdcenabletable存储过程实现。

本文介绍了并行文件服务HPFS的计费模式、计费项、计费周期、计费公式以及产品定价等相关内容。 计费模式 并行文件服务HPFS会根据存储类型、配置容量大小和时长进行计费。当前仅提供HPC性能型存储类型，以及按需计费的计费模式。 按需计费（后付费）：按照创建文件系统时配置容量结算费用，先使用，后付费，适用于业务用量经常有变化的场景。 计费项 根据存储类型和规格，按照创建文件系统时配置的容量大小计费，并非按照上传文件的使用量。 在使用HPFS过程中，除并行文件系统配置容量的计费项费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将本地数据迁移至HPFS时，通过将文件系统挂载至一台连接公网的物理机上实现数据上传和下载。如您占用弹性IP提供的公网带宽，具体费用信息，请参考弹性IP计费说明。 计费周期 HPFS按小时为周期统计，即每小时结算一次，须保证您的账户余额充足，避免可能因欠费影响业务。 计费公式 存储空间费用 存储类型单价（元/GB/小时） 文件系统配置容量大小（GB） 使用时长（小时）。 产品定价 HPFS按需计费定价，请参见HPFS产品价格。 卡券管理 优惠券使用规则请参见天翼云帮助中心费用中心优惠券使用。 代金券使用规则请参见天翼云帮助中心费用中心代金券使用。

本文介绍CDN+平台基本概念。 基本概念 CDN+平台 CDN+平台是一个综合平台，为全体天翼云客户提供AOne、媒体存储、边缘计算等产品。CDN+平台又包含了统一日志系统、统一 IAM、统一监控告警的中台能力。更多介绍可查看：CDN+平台介绍、如何登录CDN+平台。 工作区 工作区是一个可以共享合作的地方，工作区里有很多成员，有人是创建者，有人是管理员，有人是普通成员。所有的成员共享创建者的资源。 创建者拥有最高权限，创建者可以邀请其他已有CDN IAM账号的用户以及创建子用户 ，并可以给不同的人设置角色。更多介绍可查看：工作区介绍。 子用户 子用户是IAM平台引入的体系。如果您想找人一起共享或管理资源，在对方没有天翼云账号的情况下，您可以使用子用户功能，为对方创建子用户。更多介绍可查看：管理子用户。 角色管理 角色是权限策略的组合，您可以通过新增角色来引入新的访问控制策略。内置角色是平台提供的已经打包好的权限策略组合，可以供您快速添加与使用，无需自定义添加。您可以查看内置角色的详情，但不能修改。定制角色是您在当前工作区创建的角色，您可以自定义组装的权限策略，以满足复杂的业务场景。更多介绍可查看：角色管理。

操作步骤 SQL拦截语句操作 添加拦截规则 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击SQL拦截 ，进入拦截日志页签。 5. 单击拦截规则页签。 6. 在SQL语句 输入框中，输入您需要拦截的SQL语句，然后单击同步拦截。 7. 点击确认，确认要将设置的SQL规则用于实例所有节点。 已添加的拦截规则将显示在SQL拦截语句列表中，并对该语句进行拦截。 说明 由于主从复制延迟，SQL拦截语句列表中生效状态列可能有未生效的节点，可点击同步拦截按钮将规则同步至所有节点。 删除拦截规则 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击SQL拦截 ，进入拦截日志页签。 5. 单击拦截规则页签。 6. 在SQL拦截语句列表中，找到目标语句，单击操作 列的删除。 如果您需要批量删除语句，您可以勾选多条目标语句，然后单击列表上方的批量删除，即可进行批量删除操作。

本节主要介绍OOS的存储类型：标准存储和低频访问存储。 OOS提供两种类型的存储：标准存储和低频访问存储。用户可以根据不同业务场景选择不同的存储类型。 标准存储（STANDARD） ：访问时延低、吞吐量高，能够有效支持各种热点类型数据频繁访问。适用于各种音视频服务、图片服务、大型网站、大数据分析等应用的数据存储。标准存储是默认的存储类型。如果上传文件时未指定存储类型，OOS默认使用标准存储。 低频访问存储（STANDARDIA） ：适合长期保存不经常访问的数据。对于不经常访问但仍需要实时访问的数据，可以采用低频访问存储，例如各类移动应用、智能设备、企业数据的长期备份。 最短存储时间：低频访问存储的文件有最短存储时间，存储时间短于30天的文件被提前删除或变更时，会产生一定费用。 最小计费大小：低频访问存储文件有最小计费大小，即如果文件大小低于64KiB，会按照64KiB计算收费文件大于等于64KiB按照实际存储收费。 数据取回：获取低频访问存储文件时会产生数据取回费用。 存储类型对比 对比指标 标准存储类型 低频访问存储类型 ::: 数据持久性高达 99.99999999999%（13个9） 99.99999999999%（13个9） 服务设计的可用性 99.99% 99.9% 文件最小计费大小 按照文件实际大小计算 64KiB 最短存储时间 无最短存储时间要求 30天 数据取回费用 不收取数据取回费用 按实际获取的数据量收取，单位GiB 数据访问特点 实时访问 实时访问 图片处理 支持 支持 HTTPS加密传输 支持 支持 修改存储类型 支持 支持

本章节介绍应用容灾多活的日常巡检功能。 前提条件 已创建应用系统。 巡检操作 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页。 4. 在左侧导航栏选择运维监控 ，在运维监控菜单下单击日常巡检，进入巡检任务页面。 5. 单击巡检任务右侧巡检类型 列的 > 按钮，可以展开该次巡检结果列表。 6. 单击目标结果右侧详情 列，可以查看执行详情。 当结果显示为“运行异常”，您可以参考详情中的排障指引进行问题处理； 若结果显示为“存在风险”，建议您依据详情中的相关建议采取相应措施。 7. 单击页面上方设置 按钮，可以修改巡检配置。 开启状态 ：是否开启。 巡检间隔 ：每10分钟、每30分钟、每1小时、每2小时、每3小时、每6小时、每1天、每2天。 开始时间 ：巡检首次开始时间。 巡检模块 ：健康检查、延迟检查和一致性检查。 8. （可选） 单击页面上方手动巡检按钮，可以立即发起巡检任务。 表 巡检结果 名称 详情 分类 健康检查 延迟检查 一致性检查 层次 接入层 应用层 数据层 通用层 巡检项目 巡检项目名称 巡检描述 自定义巡检说明 巡检时间 巡检发起时间 耗时 巡检运行时间（秒） 结果 运行正常 运行异常 运行中 存在风险 详情 巡检的详细信息 说明 开启巡检任务时，需要包含至少一个巡检项。

本文为您介绍如何在ECI实例中查看GPU信息。 背景信息 nvidiasmi是NVIDIA System Management Interface的缩写，是一种用于监视和管理NVIDIA GPU的命令行工具。它提供了有关GPU的详细信息，包括GPU的使用情况、温度、电源消耗、驱动程序版本等。通过nvidiasmi，可以了解GPU的性能和健康状况，以及识别任何可能的问题。使用nvidiasmi，可以完成下列管理： 监视GPU的使用情况：nvidiasmi可以显示GPU的当前使用率、内存使用情况、温度和功耗等信息。这对于调试和优化GPU应用程序非常有用。 管理GPU的电源消耗：nvidiasmi可以显示GPU的功耗和电源限制，并允许您调整GPU的电源模式和限制，以平衡性能和功耗之间的关系。 检查驱动程序版本：nvidiasmi可以显示已安装的NVIDIA驱动程序的版本号，以便您了解驱动程序是否需要更新。 监控GPU的温度：nvidiasmi可以提供GPU的温度信息，帮助您确保GPU在安全的温度范围内运行。 前期准备 已开通天翼云弹性容器实例服务。 ECI容器镜像中已安装nvidia显卡驱动。 操作步骤 下面将介绍如何在ECI实例中使用nvidiasmi工具查看GPU信息： 1. 通过天翼云弹性容器实例订购页面创建ECI GPU实例。 2. 选择已安装nvidia显卡驱动的容器镜像。 3. 在ECI控制台管理页面进入实例详情。 4. 点击“远程连接”标签，当容器连接成功后，执行nvidiasmi命令即可查看GPU信息，如下图所示：

怎么样开通网站安全监测服务和使用？ 网站安全监测服务的开通首先需要注册天翼云官网的账号，通过产品栏目找到网站安全监测，点击开通；开通后会跳转到网站安全监测控制台，在控制台上配置需要监测的域名，配置成功后就已经开始对您的域名提供监测服务了。 欠费后网站安全监测服务会被关停吗？ 账户余额不足以支付服务费用将导致欠费，发生欠费后，网站安全监测服务的域名将被关停。 关停网站安全监测服务后怎样重新开启服务？ 客户补足欠款后，客户的天翼云账号恢复使用，被停止的域名需要客户到网站安全监测控制台域名管理模块，点击启用域名，开启被停用的域名，当域名状态变更为已启用后，服务就重新开启了。 网站安全监测服务配置完成后大概多久生效？ 网站安全监测域名接入配置在控制台完成配置后一般30分钟内生效，若30分钟后仍未生效，请提交工单处理； 接入网站安全监测服务的域名有什么要求吗？ 接入网站安全监测服务的域名，需要在工信部完成ICP备案。 关闭网站安全监测服务后，域名配置会保留吗？ 欠费导致服务关闭，域名配置会保留，但不会继续为所配置域名提供业务安全监测服务。 删除网站安全监测域名后，域名配置会保留吗？ 删除域名后，其配置将不会保留。 网站安全监测服务被暂停了，为什么？ 业务被暂停有以下几种情况： 欠费 未备案或备案已过期 内容违规 套餐包过期

注意事项 1. 对于原先仅订购静态加速（中国内地）、下载加速（中国内地）、视频点播加速（中国内地）任一流量包套餐的存量客户（即从未订购过任何按量计费套餐的客户），需注意如下场景： 由于CDN加速流量包可直接用于抵扣客户加速类型为静态加速、下载加速、视频点播加速的业务，故对于在存量流量包用量用尽或有效期到期后希望继续使用流量包套餐的客户，允许在天翼云官网订购CDN加速流量包，且不做加速类型的变更，但需要保证流量包续订的及时性，否则在CDN加速流量包用量用尽或有效期到期后也会触发域名关停。 如无法保证流量包续订的及时性，则建议在续订的CDN加速流量包用量用尽或有效期到期前，完成域名加速类型的变更，即由原来的加速类型变更为【CDN加速】，这样在CDN加速流量包用量用尽或有效期到期后会自动转CDN加速的按量计费，该变更操作能更好的保证业务加速不被中断。变更加速类型可参考本文档场景2中建议的操作步骤。 2. 对于原先已订购静态加速（中国内地）、下载加速（中国内地）、视频点播加速（中国内地）任一按量计费套餐的存量客户，若没有新增的加速业务述求，在不做任何加速类型变更处理的前提下，所有业务可继续正常加速。若中途想订购流量包，在天翼云官网[订购CDN加速流量包](

天翼云全站加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。 适用场景 特别适合银行、证券等对数据安全要求极高的行业。 注意事项 天翼云全站加速支持SM2（非对称加密算法）、SM3（密码杂凑算法）、SM4（分组加密算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 如果您需要同时兼容国密和国际密码算法，请同时部署国密证书和HTTPS证书。 使用国密算法，需要您提供国密签名证书及私钥、国密加密证书及私钥。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。

指导用户通过密钥管理界面开启自动轮换密钥。 默认情况下，自定义密钥的自动密钥轮换处于禁用状态。当您启用（或重新启用）密钥轮换时，KMS会根据您设置的轮换周期自动轮换自定义密钥。 前提条件 密钥处于“启用”状态。 “密钥材料来源”为“密钥管理”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息页面。 步骤 5 单击“轮换策略”，进入“密钥轮换管理”页签。 步骤 6 单击，开启密钥轮换。 步骤 7 在弹出的“开启密钥轮换”对话框中，设置密钥轮换周期，并单击“确定”。 轮换周期（天）：取值范围为“30~365”的整数，默认“365”天。 轮换周期从此次设置的时间开始计算。 轮换周期需要根据自定义密钥的使用频率进行设置，若密钥使用频率高，建议设置为短周期；反之，则设置为长周期。 说明 如果自定义密钥开启密钥轮换以后，禁用了自定义密钥，KMS也不会轮换该自定义密钥。 当自定义密钥恢复到“启用”状态时，密钥轮换将立即重新激活。如果刚恢复“启用”状态的自定义密钥距离上次轮换的时间已超过轮换周期，KMS将在24小时内轮换该自定义密钥。 用户可修改轮换周期。修改轮换周期后，根据新设置的轮换周期进行轮换。

本文主要介绍了账单管理的常见问题。 如何在官网查看自己的消费概况？ 登录成功以后进入管理中心，在“费用中心账单概览”页面可以查看到当月及往期消费情况。 是否可以单独导出企业项目的账单？ 目前还不支持按企业项目进行分类导出按需费用。 什么是账期？ 账期是用于对账的一个时间范围，通常是一个自然月。一个账期结束后，系统会计算出用户在该账期内产生消费的全部费用明细，并生成账单。当月最终账单在次月3日生成，在次月4日10点后可查看和导出。 为什么会产生欠费？ 当用户开通或订购了按需计费产品时，在产品结算周期（小时/天/月）结束的时候，系统会自动生成账单并执行扣款。如果用户账户余额不足，就会出现欠费情况。 如何查看按需资源每天消费多少钱？ 登录官网后，在“费用中心账单管理账单详情”页面中，“统计维度”设置为“资源”，“统计周期”设置为“按天”，“计费模式”设置为“按需”，即可在账单详情列表中查看按需资源每天的消费情况。 如何查看资源的使用量和消费金额？ 登录官网后，在“费用中心账单管理账单详情”页面中，“统计维度”设置为“使用量”，“统计周期”设置为“明细”，“计费模式”设置为“按需”，即可在账单详情列表中查看资源的使用量和消费金额。 如何删除资源？ 如果资源不再使用，用户可以登录官网后进入产品控制台进行删除操作。资源删除后，资源不能找回。