此小节介绍云防火墙使用最佳实践。 选择云防火墙版本 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。 详细的功能介绍请参见功能特性。 开启弹性公网IP防护 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。 4.单击页面右上角“资产同步”，将您的弹性公网IP信息导入至列表中，刷新弹性公网IP列表。 说明 弹性公网IP防护目前仅“广州4”支持IPv6。 5.开启弹性公网IP。 开启单个弹性公网IP。在所在行的“操作”列中，单击“开启防护”。 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。 6.在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“防护中”。 说明 EIP开启防护后，访问控制策略默认动作为“放行”。 开启入侵防御拦截模式 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在入侵防御界面，页面上方的“防护模式”中，选择防御模式。 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。

本文主要介绍怎样查询Linux弹性云主机磁盘分区与磁盘设备的对应关系? 对于Linux弹性云主机，磁盘分区与磁盘设备名称完全对应。本节以Red Hat Enterprise Linux 7的图形界面为例，介绍查询Linux弹性云主机磁盘分区与磁盘设备的方法。 1.以root权限登录Red Hat Enterprise Linux 7弹性云主机。 2.在桌面空白处右键打开一个终端会话。 图 open terminal 3.执行以下命令，查询磁盘分区和磁盘设备。 fdisk l 图 查询磁盘分区和磁盘设备 对于Linux弹性云主机，查询到的磁盘分区与实际使用的磁盘设备名称完全对应，如下表所示。 表 磁盘分区和磁盘设备的映射关系 磁盘分区 磁盘设备 xvda xvda xvdb xvdb xvdc xvdc xvdd xvdd xvde xvde xvdf xvdf xvdg xvdg xvdh xvdh xvdi xvdi xvdj xvdj xvdk xvdk xvdl xvdl xvdm xvdm xvdn xvdn xvdo xvdo xvdp xvdp xvdq xvdq xvdr xvdr xvds xvds xvdt xvdt xvdu xvdu xvdv xvdv xvdw xvdw xvdx xvdx

轻量型云主机的套餐包含CPU、内存、系统盘、网络带宽、公网IP，本文将为您介绍各计费项的价格。 轻量型云主机的套餐包含CPU、内存、系统盘、网络带宽、公网IP。具体计费项及价格如下： CPU、内存 规格 包月标准价格（元/月） :: 2C4G 136.98 2C8G 194.04 4C8G 273.87 4C16G 388.08 8C16G 547.74 8C32G 776.16 注意 以上表格仅是轻量型云主机cpu、内存的价格，实际控制台的套餐还包含系统盘、带宽等产品费用。 轻量型云主机的CPU、内存具有包年优惠政策，包1、2、3、4、5年的年付月价为标准月价8.5折，使用时长较长的用户，可以年为单位进行购买。 系统盘 规格 包月标准价格（元/G/月） :: 高IO（SAS） 0.4 数据盘 规格 包月标准价格（元/G/月） 普通IO（SATA） 0.3 高IO（SAS） 0.4 通用型SSD 0.7 超高IO（SSD） 1.2 注意 云硬盘还享受包年一次性付费折扣，折扣如下：1年8.5折、2年7折、3年5折、4年4.5折、5年4折。

本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

本节介绍了获取一键式重置密码插件操作场景及相关步骤。 操作场景 当密码丢失或过期时，如果您的弹性云主机安装了一键式重置密码插件，则可以应用一键式重置密码功能，给弹性云主机重置密码。使用公共镜像创建的弹性云主机默认已安装一键重置密码插件。 若弹性云主机“重置密码”失败，有可能是由于未安装一键式重置密码插件，您可以参考本章节获取一键式重置密码插件并校验其完整性。 获取并校验一键式重置密码插件完整性（Linux） 1、以root用户登录弹性云主机。 2、执行以下命令，下载一键式重置密码插件及sha256校验码。 您可以根据弹性云主机所在区域、操作系统是32位还是64位，参考获取一键式重置密码插件选择对应的下载地址。 以Linux 32位x86操作系统为例： wget wget 3、执行以下命令，获取本地一键重置密码插件的Hash值。 sha256sum {软件包本地目录}/CloudResetPwdAgent.zip {软件包本地目录}：请根据实际下载目录进行替换。 4、将步骤2获取的sha256 Hash值和步骤3获取的Hash值进行比较。 一致：通过校验。 不一致：请重新下载对应版本的一键重置密码插件，重复步骤2~步骤4进行校验。 获取并校验一键式重置密码插件完整性（Windows） 1. 登录弹性云主机。 2. 下载一键式重置密码插件及sha256校验码。您可以根据弹性云主机所在区域，参考获取一键式重置密码插件选择对应的下载地址。 3. 以管理员权限打开cmd，执行以下命令，获取本地一键重置密码插件的Hash值。certutil –hashfile {软件包本地目录}CloudResetPwdAgent.zip SHA256 {软件包本地目录}：请根据实际下载目录进行替换。 4. 将步骤2获取的sha256Hash值和步骤3获取的Hash值进行比较。 1. 一致：通过校验。 2. 不一致：请重新下载对应版本的一键重置密码插件，重复步骤2~步骤4进行校验。

入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 查看入云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 入云流量”，进入“入云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：互联网访问内部服务器时最大流量的相关信息。 入云流量：入方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内入方向流量中指定参数的TOP 5 排行，参数说明请参见表350。单击单条数据查看流量详情，每个详情支持查看50条数据。 入云流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置， TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 公开IP分析：目的IP的流量信息。 访问源IP分析：源IP的流量信息。

安全计算环境：身份鉴别 等保条例：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； 本条款主要考察如下三点： 是否对登录用户进行身份识别和鉴别使用浏览器访问堡垒机页面，证明需要对用户身份进行鉴别之后才可正常使用产品功能。 身份标识是否具有唯一性：每名用户创建必须填写姓名、手机号、邮箱及角色，并且一名用户只能配置一个角色。 身份鉴别信息是否具有复杂度要求并定期更换：云堡垒机支持“手动执行”、“定时执行”、“周期执行”三种改密执行方式，还支持“生成不同密码”、“生成相同密码”、“指定相同密码”三种改密方式。具体操作详见云堡垒机改密策略。 等保条例：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现; 云堡垒机采用多因子认证的登录方式，具体登录认证的方法有：手机短信、手机令牌、USBkey和动态令牌登录四种方式。 等保条例：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 云堡垒机可配置用户登录安全锁，可设置锁定方式、锁定时长、可尝试密码次数等。 访问控制 等保条例：应授予管理用户所需的最小权限，实现管理用户的权限分离； 云堡垒机支持对用户的操作权限进行限制，分别为三大类：访问控制策略、命令控制策略和数据库控制策略。 云堡垒机可以对登录用户角色的一些操作权限进行控制，比如您可以对运维主管的账号授予删除和修改代理服务器的权限。 您可以对各个账户进行访问控制，具体可细分到文件管理、上行剪切板、下行剪切板、显示水印、控制登录时间和上传下载文件，并且可以对登录的角色进行IP的黑白名单限制。 等保条例：应对登录的用户分配账户和权限； 云堡垒机支持对用户进行角色分配和用户组分配。 对于长期不登录或过期的账户，应及时删除。云堡垒机可以设定僵尸用户判定时间，超过此时间的账户就会被禁用。

本文主要介绍分布式消息服务RabbitMQ所需的环境准备。 创建RabbitMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RabbitMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RabbitMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 如果用户已有VPC，可重复使用，不需要多次创建。 创建VPC 1、登录管理控制台。 2、在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3、在管理控制台左上角单击，选择“网络 > 虚拟私有云”。 4、单击“创建虚拟私有云”，进入“创建虚拟私有云”界面。 5、根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。关于创建VPC的详细信息可以参考《虚拟私有云用户指南》。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考6。如果不需要额外创建子网，请执行7。 6、在左侧导航栏，单击“子网”，进入“子网”界面。单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 关于创建子网的详细信息可以参考《虚拟私有云用户指南》。 7、在左侧导航栏，选择“访问控制 > 安全组”，进入“安全组”界面。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 关于创建安全组的详细信息可以参考《虚拟私有云用户指南》。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加表1的规则。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密）

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本文主要介绍负载均衡访问日志配置方式。 当需要对负载均衡器的七层访问情况进行分析时，可以通过负载均衡访问日志功能配置采集七层访问日志，并将日志投递至云日志服务指定的日志单元。通过云日志服务提供的日志功能，完成对负载均衡器的七层访问情况的分析。 操作须知 该功能当前处于试用阶段，如需试用可以通过天翼云控制台提工单进行申请。 负载均衡访问日志功能支持将负载均衡七层协议（HTTP/HTTPS）监听器的访问日志存入云日志服务，不支持对四层协议（TCP/UDP）监听的访问流量。 负载均衡访问日志功能仅部分集群模式资源池的支持，主备模式资源池不支持，主备、集群模式资源池列表见 产品简介​>产品类型和规格, 实际情况以控制台展现为准。 负载均衡访问日志功能当前为内测阶段，如果您有相关业务需要，可以提交工单申请试用，天翼云将对您的申请进行评估。 负载均衡访问日志内测期间不收费，但是云日志服务可能会产生费用，请以日志服务计费说明为准。 使用该功能前，请先开启云日志服务，并创建与负载均衡器同资源池的日志项目和日志单元，请参考云日志服务快速入门。

查看追踪事件 在您开启了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 单击“服务列表”，选择“管理与部署 > 云审计服务2.0”，进入云审计服务信息页面。 4. 在左侧导航树，单击“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中，筛选类型选择“按事件名称”时，还需选择某个具体的事件名称。 选择“按资源ID”时，还需选择或者手动输入某个具体的资源ID。 选择“按资源名称”时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 起始时间、结束时间：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，在弹出框中显示该操作事件结构的详细信息。

本文主要介绍 查看追踪事件 操作场景 开通了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 1.登录管理控制台。 2.选择“服务列表 > 管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 3.单击左侧导航树的“事件列表”，进入事件列表信息页面。 4.事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 在需要查看的事件左侧，单击展开该记录的详细信息。 5.在需要查看的记录右侧，单击“查看事件”，弹出一个窗口显示该操作事件结构的详细信息。 6.关于事件结构的关键字段详解，“事件结构”和“事件样例”章节。

本节介绍了纳管节点的用户指南。 操作场景 纳管节点是指将已有的弹性云主机/裸金属加入到云容器集群中，所纳管节点的计费模式支持“按需计费”和“包年/包月”两种类型。 注意 纳管节点将对节点进行重装操作系统，节点的系统盘会被清理，请操作纳管节点前进行数据备份。 纳管节点将清除/etc/fstab中的数据盘挂载记录，若需要保存磁盘挂载记录请将/etc/fstab备份至数据盘。 纳管节点将弹性云主机控制台云盘列表中的首块数据盘(系统盘除外)预设为容器数据盘，若该云盘已经被分区或格式化则将系统盘作为容器数据盘。 纳管节点将重置节点密码，原密码将失效。 纳管节点过程中，请勿在弹性云主机或者物理机控制台对所选节点进行任何操作。 前提条件 待纳管的弹性云主机或裸金属需要满足以下前提条件： 待纳管节点必须状态为“运行中”，未被该集群以及其他集群所使用。 待纳管节点需与集群在同一虚拟私有云内。 待纳管节点的系统组件使用独立磁盘存储时需挂载数据盘。 待纳管节点规格要求：CPU必须4核及以上，内存必须8GiB及以上，网卡有且仅能有一个。 待纳管的节点，主机名称只能使用小写字母、数字和连字符（），必须以小写字母开头，不能以连字符（）开头或结尾，并且长度不得超过63个字符。 批量纳管仅支持添加相同规格、相同可用区、相同数据盘配置的云主机或裸金属。

当Linux操作系统云主机/etc/passwd文件损坏时,可参考此文进行修复 操作场景 本节操作适用于Linux操作系统云主机，出现因/etc/passwd文件损坏导致云主机无法登录的问题。 说明 本节操作为紧急恢复系统方法，需要在单用户模式下会将系统备份初始备份/etc/passwd文件替换已损坏的/etc/passwd文件，该操作会造成自行添加的用户丢失（包括应用运行的用户，可以参考/etc/shadow文件添加其他账号）。 本节操作涉及重启云主机操作，重启云主机会造成业务中断，请谨慎操作。 问题描述 Linux系统中多个服务启动失败：Failed to start Login service 、Filed to start Authorization service。 待系统启动后登录，提示密码错误。 根因分析 /etc/passwd和/etc/shadow文件记录所有的用户信息，每个用户都有一个对应的记录行，如果该文件损坏或者误删除会导致登录服务（systemdlogind.service）启动失败，因此用户无法登录。 处理方法 1. 使用控制台提供的远程登录方式登录云主机。单击远程登录操作面板上方的“发送CtrlAltDel”按钮，重启虚拟机。 2. 确认开始重启后，立即反复单击上下键，阻止系统继续启动，在出现内核选项时按字母键e进入内核编辑模式。 3. 找到linux16行末尾，删除不需要加载的参数（ro参数开始到末尾）。修改ro为rw，以读写方式挂载根分区。并添加rd.break，然后执行Ctrl+X。 4. 执行以下命令切换至/sysroot目录。

操作系统内核热补丁 天翼云支持热补丁修复技术，可在无需重启系统的情况下快速修复漏洞，有效提升系统的可用性与安全性。借助天翼云CTyunOS操作系统所提供的热补丁功能，用户能够在系统运行过程中动态加载并应用补丁，及时修复已知漏洞或缺陷，整个过程无需重启系统，也不会中断正在运行的服务。用户可根据实际需求，灵活下载和安装热补丁，实现业务无感知的安全更新。更多信息可查看++CTyunOS系统官网热补丁公告++ 使用服务器安全卫士 服务器安全卫士（原生版）为您免费提供操作系统安全加固能力，包括资产指纹采集、漏洞扫描、暴力破解和异常登录告警等基础防护功能。在您购买弹性云主机时，系统将自动为您开启“基础版”免费防护服务，为您的操作系统提供基础安全保障。基础版功能完全免费，建议用户保持开启状态；若业务有更高安全需求（如漏洞修复、防勒索、网页防篡改），可升级至企业版或旗舰版，获取更全面的防护能力。更多信息，请参见++主机安全防护最佳实践++ 提升操作系统安全性 使用云审计 云审计是天翼云提供的云账号在控制台操作记录的查询和投递服务，可用于支撑合规审计、安全分析、操作追踪和问题定位等场景。同时云审计提供事件跟踪功能，支持将操作日志转储至对象存储或者日志审计（原生版）产品实现更长时间的存储，满足等保合规要求。更多信息，请参见++云审计++。

本节介绍了纳管节点的用户指南。 操作场景 纳管节点是指将已有的弹性云主机/裸金属加入到云容器集群中，所纳管节点的计费模式支持“按需计费”和“包年/包月”两种类型。 注意 纳管节点将对节点进行重装操作系统，节点的系统盘会被清理，请操作纳管节点前进行数据备份。 纳管节点将清除/etc/fstab中的数据盘挂载记录，若需要保存磁盘挂载记录请将/etc/fstab备份至数据盘。 纳管节点将弹性云主机控制台云盘列表中的首块数据盘(系统盘除外)预设为容器数据盘，若该云盘已经被分区或格式化则将系统盘作为容器数据盘。 纳管节点将重置节点密码，原密码将失效。 纳管节点过程中，请勿在弹性云主机或者物理机控制台对所选节点进行任何操作。 前提条件 待纳管的弹性云主机或裸金属需要满足以下前提条件： 待纳管节点必须状态为“运行中”，未被该集群以及其他集群所使用。 待纳管节点需与集群在同一虚拟私有云内。 待纳管节点的系统组件使用独立磁盘存储时需挂载数据盘。 待纳管节点规格要求：CPU必须4核及以上，内存必须8GiB及以上，网卡有且仅能有一个。 待纳管的节点，主机名称只能使用小写字母、数字和连字符（），必须以小写字母开头，不能以连字符（）开头或结尾，并且长度不得超过63个字符。 批量纳管仅支持添加相同规格、相同可用区、相同数据盘配置的云主机或裸金属。

本文主要介绍远程连接Windows云主机报错:没有远程桌面授权服务器可以提供许可证怎么处理。 问题描述 使用远程登录方式连接登录Windows云主机时出现如下错误：由于没有远程桌面授权服务器可以提供许可证，远程会话被中断，请跟服务器管理员联系。 图 没有远程桌面授权服务器可以提供许可证 可能原因 可能原因是由于在系统内部安装了远程桌面会话主机角色。 您可以申请免费使用120 天，之后需要付费，如未付费会则造成远程连接失败。 Windows最多仅允许两个用户连接（包含本地登录用户），若要支持更多连接数量，请安装远程桌面服务角色并取得合法授权数量。 在配置远程桌面会话主机角色后，会同时取消原有默认的2个免费连接授权。所以，在没有正确配置相关授权的时候，会导致远程桌面无法连接，并出现上述错误提示。 操作须知 本文适用于Windows server 2008/2012操作系统的云主机。 操作过程中需要重启云主机，可能会造成业务中断，请提前做好数据备份。 Windows 2008操作系统处理方法 1.使用控制台提供的VNC连接方式登录到Windows云主机。 2.打开“服务器管理器”，依次选择“角色 > 远程桌面服务 ”，右键单击“远程桌面服务”，然后选择“删除角色服务”。 图 删除角色服务 3.在弹出窗口中，取消勾选“远程桌面会话主机”，并单击“下一步”直到完成。 图 取消勾选“远程桌面会话主机” 4.单击“删除”。 5.重启云主机。

本节介绍了Mac OS系统登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以使用“Microsoft Remote Desktop for Mac”工具远程连接“Windows Server 2012 R2 数据中心版 64位”操作系统云主机为例，介绍Mac OS系统登录Windows云主机的操作步骤。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 已安装Microsoft Remote Desktop for Mac或其他Mac OS系统适用的远程连接工具。下载Microsoft Remote Desktop for Mac。 操作步骤 1. 启动Microsoft Remote Desktop。 2. 单击“Add Desktop”。 图 Add Desktop 3. 在“Add PC”页面，设置登录信息。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − User account：在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 i. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“Add”。 图 Add user account 图 Add PC 4. 在“Remote Desktop”页面，双击需要登录的Windows实例图标。 图 双击登录Windows实例 5. 确认信息后，单击“Continue”。 至此，您已经登录Windows实例。 图 登录成功

创建轻量型云主机 接口功能介绍 该接口提供用户创建一台包年包月的轻量型云主机 URI POST /v4/ecs/lite/create 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个ClientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以调用regionID查看最新的天翼云资源池列表 100054c0416811e9a6690242ac110002 displayName 是 String 云主机显示名称，长度为215字符 ecm3300 flavorSetType 是 String 规格套餐类型，取值范围：fix：固定套餐band：带宽套餐 fix flavorName 是 String 规格套餐名称 lite1.fix.small.1 imageID 是 String 镜像ID 9d9e89988ed543b299cb322f2b8cf6fa cycleCount 是 Integer 订购时长 6 cycleType 是 String 本参数表示订购周期类型 ，取值范围：MONTH：按月YEAR：按年最长订购周期为5年 MONTH bootDiskSize 否 Integer 带宽套餐时填写，系统盘大小单位为GiB，您可以调用[查询轻量型云主机规格资源]获取套餐系统盘取值范围 40 bandwidth 否 Integer 带宽套餐时填写，带宽大小单位为Mbit/s ，您可以调用[查询轻量型云主机规格资源]获取套餐带宽取值范围 5 dataDiskList 否 Array of Objects 数据盘 disks userPassword 否 String 用户密码，满足以下规则：长度在8～30个字符;必须包含大写字母、小写字母、数字以及特殊符号中的三项;特殊符号可选：()~!@

本文主要介绍了云日志服务产品优势。 海量日志管理 云日志服务支持每天百TB级日志的接入，十亿级日志秒级搜索。 多种结构化解析 支持JSON、分隔符、nginx、正则和云服务（ELB/VPC/CTS等日志）格式结构化解析。

本章节介绍在微服务云应用平台使用中可能会涉及的相关资源 概述 资源管理内容与环境详情里面资源列表类似，展示了已导入环境的资源信息，在导入资源列表点击导入按钮可导入新的资源，点击移除按钮可移除已导入资源，对于导入失败的资源可通过重试按钮进行重试，日志按钮可查看导入过程的详细日志。 云容器引擎 左侧导航栏，选择资源管理 > 云容器引擎。在云容器引擎列表展示了当前环境下已导入的云容器引擎资源。 点击导入按钮，列表会展示与当前环境同VPC的云容器引擎列表，勾选云容器引擎，再选择对应的部署单元，点击保存就可将资源导入。 导入失败可点击日志查看具体失败原因，也可点击重试按钮进行重试。 点击移除按钮，可移除选择的云容器引擎，在移除之前需要删除对应云容器引擎下的容器应用实例。 若云容器引擎进行节点扩容，有节点对应新的可用区，可通过编辑部署单元，修改云容器引擎与部署单元的对应关系。 ECS集群 左侧导航栏，选择资源管理 > ECS集群。在ECS集群列表展示了当前环境已创建的ECS集群资源。 集群列表界面，点击创建集群，输入集群名称后保存即可在当前环境下创建ECS集群。 集群列表界面，点击ECS集群名称，进入ECS集群详情页面，ECS集群详情页面展示了导入到集群的ECS实例列表，以及发布到ECS集群的应用列表。在ECS实例列表，点击上方导入按钮，可导入已订购的ECS实例。点击购买ECS扩容，可跳转到ECS订购界面，进行订购操作。点击操作栏移除按钮，可移除已导入的ECS实例，点击购买相同配置按钮，可跳转到ECS订购界面，自动选择与当前ECS实例同配置机器。 集群列表界面，点击操作栏删除按钮，可删除对应ECS集群，删除集群前需要先删除发布到此集群的ECS应用实例。 注意 一台ECS机器只能部署一个应用，订购ECS时根据部署应用所需资源选择规格订购。目前支持ECS发布的资源池如下：华东1、华北2、华南2、西南1、西安7。

PON云专线提交“立即开通”之后，订单信息将进入到预受理流程，订单信息会展示在“预受理单列表”之中。 产品名称：显示订购的“PON云专线”名称； 订单号：显示本次订购的PON云专线订单号； 状态：此为预受理订单状态，分为已提交，已接收，已完成，错误等状态，如遇到提示“错误”状态时，请联系客服，提交报障工单处理；

什么是云监控服务？ 云监控服务为用户提供一个针对弹性云主机、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控服务架构图如图1所示。 图 1 云监控服务架构图 云监控服务主要具有以下功能： 自动监控： 云监控服务不需要开通，在创建弹性云主机等资源后监控服务会自动启动，您可以直接到云监控服务查看该资源运行状态并设置告警规则。 主机监控： 通过在弹性云主机或物理机中安装云监控服务Agent插件，用户可以实时采集ECS或BMS 1分钟级粒度的监控数据。已上线CPU、内存和磁盘等40余种监控指标。有关主机监控的更多信息，请参阅主机监控简介。 灵活配置告警规则： 对监控指标设置告警规则时，支持对多个云服务资源同时添加告警规则。告警规则创建完成后，可随时修改告警规则，支持对告警规则进行启用、停止、删除等灵活操作。有关告警规则的更多信息，请参阅告警规则管理。 实时通知： 通过在告警规则中配置告警通知，当云服务的状态变化触发告警规则设置的阈值时，系统通过短信、邮件通知等多种方式实时通知用户，让用户能够实时掌握云资源运行状态变化。 监控面板： 为用户提供在一个监控面板跨服务、跨维度查看监控数据，将用户关注的重点服务监控指标集中呈现，既能满足您总览云服务的运行概况，又能满足排查故障时查看监控详情的需求。有关监控面板的更多信息，请参阅监控看板简介。 资源分组： 资源分组支持用户从业务角度集中管理其业务涉及到的弹性云服务器、云硬盘、弹性IP、带宽、数据库等资源。从而按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 事件监控： 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 设备标签键，取值范围参考 uuid value 是 Array of Strings 设备标签键所对应的值，最大数量限制为10。 以云主机为例，该字段为云主机的instanceID。 ['9dc489794e1945e2b5235d3c70d516b3']

本文主要介绍如何查看监控指标数据。 操作场景 为使用户更好地掌握自己的弹性云主机运行状态，云平台提供了云监控。通过本节，您可以了解如何查看伸缩组的监控指标详情，更好地了解弹性云主机的各项性能指标。 前提条件 弹性伸缩组中的弹性云主机正常运行。 说明 当伸缩组中的实例数为0时，只能查看“实例数”这一项监控指标；CPU使用率、磁盘读速率等指标只有在伸缩组中有实例时才能查看。 关机、故障、删除状态的弹性云主机，无法查看其CPU使用率、磁盘读速率等监控指标。当弹性云主机再次启动或恢复后，即可正常查看。 在弹性伸缩组页面查看 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务 > 弹性伸缩组”。 3. 选择需要查看监控数据的伸缩组，单击伸缩组名称进入详情页面。 4. 单击“监控”页签，查看伸缩组各项监控指标的数据。 支持查看“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”的数据。如果您想查看更长时间范围的监控曲线，请单击“查看更多指标详情”跳转至云监控页面，在监控视图中单击图标，进入大图模式查看。

本节主要介绍弹性文件服务的网络类常见问题。 是否支持跨VPC访问文件系统？ 支持。 SFS容量型文件系统：支持为SFS容量型文件系统配置多个VPC，以使归属于不同VPC的云服务器，只要所属的VPC被添加到文件系统的VPC列表下，或云服务器被添加到了VPC的授权地址中，则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。具体操作请参见配置多VPC。 SFS Turbo文件系统：支持通过虚拟私有云VPC的对等连接功能，将同区域的两个或多个VPC互连以使这些VPC互通，则实际上不同的VPC便处于同一个网络中，归属于这些VPC下的云服务器也能共享访问同一个文件系统。更多关于VPC对等连接功能信息请参见VPC对等连接。 弹性文件服务支持跨区域挂载吗？ 暂时不支持。文件系统只能挂载至同一区域的弹性云服务器上。例如：苏州的文件系统无法挂载至贵州的弹性云服务器上，只能挂载至苏州的弹性云服务器上。 VPC的安全组是否影响弹性文件服务的使用？ 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 为了确保SFS Turbo能够被您的弹性云服务器访问，在成功创建SFS Turbo后，系统将自动放通SFS Turbo中NFS协议需要的安全组端口，以免文件系统挂载失败。NFS协议所需要入方向的端口号为111、2049、2051、2052、20048。如您需要修改开放的端口，可以前往“网络控制台 > 访问控制 > 安全组”找到目标安全组进行修改即可。 推荐SFS Turbo实例使用单独的安全组，与业务节点隔离。 SFS容量型文件系统的安全组需要用户自行添加对应的入方向和出方向访问规则。SFS容量型文件系统中的NFS协议所需要入方向的端口号为111、2049、2051、2052。CIFS协议所需要的端口号为445，DNS服务器所需的端口号为53。 配置规则 入方向规则 方向 协议 端口范围 源地址 说明 :::::: 入方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 出方向规则 方向 协议 端口范围 源地址 说明 :::::: 出方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 说明 端口号111需要配置双向访问规则。入方向可配置为弹性文件服务的前端业务IP网段，可以通过ping 文件系统域名或IP 或dig 文件系统域名或IP 获取。 端口号445、2049、2050、2051和2052仅需要添加出方向访问规则，其规则同端口111的出方向规则。

本章节主要介绍创建DataArts Studio基础包。 背景信息 只有拥有DAYU Administrator 或Tenant Administrator权限的用户才可以创建DataArts Studio实例或DataArts Studio增量包。如需创建，您需要给用户授予所需的权限。 说明 Tenant Administrator策略具有所有云服务的管理员权限（除IAM管理权限之外），为安全起见，一般不建议给IAM用户授予该权限，请谨慎操作。 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 前提条件 已申请VPC、子网和安全组，您也可以在创建DataArts Studio实例过程中申请VPC、子网和安全组。 登录DataArts Studio控制台 1. 登录云控制台。 2. 在控制台左上方，单击“服务列表”按钮，选择“数据治理中心”，进入DataArts Studio控制台。 创建DataArts Studio基础包 步骤 1 在DataArts Studio控制台页面，单击“创建实例”，进入创建DataArts Studio实例界面。 步骤 2 配置DataArts Studio实例参数，各参数说明如表1 所示。 表1 DataArts Studio实例参数 参数名称 样例 说明 区域 选择实例的区域，不同区域的资源之间内网不互通。 企业项目 default DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l 一个企业项目下只能创建一个DataArts Studio实例。 l 需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 版本 企业版 选择需要购买的DataArts Studio版本。 计费方式 包年包月 当前DataArts Studio基础包仅支持包年包月计费方式。 实例名称 DataArts Studiotest 自定义DataArts Studio实例名称。实例名称不支持修改，请提前合理规划。 可用区 可用区1 选择DataArts Studio实例可用区，即数据集成CDM集群所在可用区。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 第一次购买DataArts Studio实例或增量包时，可用区无要求。再次购买DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 l 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 l 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 虚拟私有云 vpc1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 子网 subnet1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 安全组 sg1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 购买时长 1年 按您的需求选择购买的时长。 自动续费 勾选自动续费前的复选框，可实现自动按月或者按年续费。 购买时长为按月购买时，自动续费周期为1个月；购买时长为按年购买时，自动续费周期为1年。 步骤 3 查看当前配置，确认无误后单击“立即创建”。 步骤 4 返回DataArts Studio控制台首页时，系统会自动弹出“云资源访问授权”的对话框，提示您对所列出的服务进行委托授权。DataArts Studio与这些云服务之间存在业务交互关系，需要与这些云服务协同工作，因此需要您创建云服务委托，将操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 说明 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 云服务委托包含DWS、MRS、RDS、OBS、SMN、KMS等服务的相关权限，作用范围可以访问IAM的委托界面查看。 另外子账号以主账号的委托为准，不需要额外申请委托。 勾选所有服务并单击“同意授权”，系统会在IAM服务自动创建dlgagency默认委托。 完成了委托授权后，下次再进入DataArts Studio控制台首页时，系统不会再弹出访问授权的对话框。 如果您只勾选了其中的某几个服务进行委托授权，下次进入DataArts Studio控制台首页时，系统仍会弹出访问授权的对话框，提示您对未授权的云服务进行访问授权。 步骤 5 在已创建的实例中单击“进入控制台”，进入DataArts Studio控制台。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

本文介绍远程登录忘记密码怎么办 如忘记登录密码，可通过 “ 重置密码 ” 功能设置新密码。 您可以通过弹性云主机控制台重置密码，点击更多重置密码更改密码，使用新密码再进行登录。具体操作步骤如下： 1. 打开弹性云主机控制台页面。 2. 选择您需要重置密码的弹性云主机，点击“更多”按钮。 3. 在弹出的下拉菜单中，选择“重置密码”选项。 4. 在弹出的重置密码窗口中，您需要输入一个新的密码，并确认一遍输入正确的密码。请注意密码的规则为8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@$%^&+{}[]:;'<>,.?/ 中的特殊符号）,且不能以斜线号（/）开头，不能包含连续字符。 5. 点击“确定”按钮，系统会提示您重置密码成功。 6. 使用新密码登录弹性云主机控制台，进行后续操作。 更多可以参考在控制台重置密码。

本文向您介绍弹性云主机新内核启动失败如何设置使用第二内核启动的解决方案。 操作场景 本节操作介绍云主机新内核启动失败时如何设置使用第二内核启动。 本节操作适用于CentOS、CTyunOS操作系统，且系统内安装至少两个内核。 以CTyunOS为例操作 1. 选择对应的云主机，点击“远程登录”。 2. 点击“Send CtrlAltDel”重启云主机。 3. 出现内核选择界面后，按下键，移动光标至第二内核，按回车键。 这里以救援模式，来当成第二内核。实际操作中，选择实际的内核版本即可。 4. 待进入系统后，执行下面命令来设置第二内核为默认启动内核。 grub2setdefault 1