华为云用户手册

处理方案 通过本地PC播放Windows云服务器上的音频文件。以Windows 7的本地PC为例，具体操作如下： 打开本地计算机。 不是登录Windows云服务器。 通过快捷键“Win+R”，打开“运行”窗口。 输入“mstsc”，并单击“确定”。 系统打开“远程桌面连接”窗口。 图1 远程桌面连接 单击左下角的“选项”，并选择“本地资源”页签。 图2 远程桌面连接-本地资源 在“远程音频”栏，单击“设置”，配置远程音频设置。 图3 远程音频播放设置 在“远程音频播放”栏，选择“在此计算机上播放”。

处理方法1：VNC方式登录 不同版本的Windows操作系统，操作略有差异，本节以Windows Server 2016 标准版 64bit为例，介绍如何修改Windows云服务器的分辨率。 通过VNC方式登录云服务器。 右键单击桌面，选择“显示设置”。 图1 显示设置 在“设置”界面，选择“显示”页签，单击“高级显示设置”。 如果远程桌面不显示全屏，可调整“更改文本应用项目的大小”，将缩放比例改为100%，则远程桌面显示正常。 图2 设置 在“分辨率”栏的下拉列表中，修改云服务器的分辨率。 图3 设置分辨率 单击“应用”。

处理方法2：MSTSC方式登录 如果您通过MSTSC方式登录云服务器，那么，需在远程桌面连接前，设置Windows云服务器的分辨率大小。 在您的用户本地计算机（即客户机）上，单击“开始”菜单。 在“搜索程序和文件”中，输入“mstsc”。 在“远程桌面连接”窗口，单击左下角的“选项”。 图4 远程桌面连接 选择“显示”页签，在“显示配置”中设置分辨率大小。 图5 显示 分辨率设置完成后，使用MSTSC方式连接云服务器。

带宽使用率高问题分析 如果是正常业务访问以及正常应用进程导致的带宽使用率高，需要升级服务器的带宽进行解决。如果是非正常访问，如某些特定IP的恶意访问，或者服务器遭受到了CC攻击。或者异常进程导致的带宽使用率高。可以通过流量监控工具nethogs来实时监测统计各进程的带宽使用情况，并进行问题进程的定位。 使用nethogs工具进行排查 执行以下命令，安装nethogs工具。 yum install nethogs -y 安装成功后可以通过netgos命令查看网络带宽的使用情况。 nethogs命令常用参数说明如下： -d：设置刷新的时间间隔，默认为1s。 -t：开启跟踪模式。 -c：设置更新次数。 device：设置要监测的网卡，默认是eth0。 运行时可以输入以下参数完成相应的操作： q：退出nethogs工具。 s：按发送流量大小的顺序排列进程列表。 r：按接收流量大小的顺序排列进程列表。 m：切换显示计量单位，切换顺序依次为KB/s、KB、B、MB。 执行以下命令，查看指定的网络端口每个进程的网络带宽使用情况。 nethogs eth1 回显参数说明如下： PID：进程ID。 USER：运行该进程的用户。 PROG RAM ：进程或连接双方的IP地址和端口，前面是服务器的IP和端口，后面是客户端的IP和端口。 DEV：流量要去往的网络端口。 SENT：进程每秒发送的数据量。 RECEIVED：进程每秒接收的数据量。 终止恶意程序或者屏蔽恶意访问IP。 如果确认大量占用网络带宽的进程是恶意进程，可以使用kill PID命令终止恶意进程。 如果是某个IP恶意访问，可以使用iptables服务来对指定IP地址进行处理，如屏蔽IP地址或限速。 使用 Web应用防火墙 防御CC攻击 若服务遭受了CC攻击，请在Web应用防火墙控制台开启CC安全防护。Web应用防火墙的使用指导请参见配置CC防护策略。

CPU使用率高问题处理 对于导致CPU使用率高的具体进程，如果确认是异常进程，可以直接通过top命令终止进程。对于kswapd0进程导致的CPU使用率高的问题，则需要对应用程序进行优化，或者通过增加内存进行系统规格的升级。 kswapd0是系统的虚拟内存管理程序，如果物理内存不够用，系统就会唤醒kswapd0进程，由kswapd0分配磁盘交换空间用作缓存，因而占用大量的CPU资源。 使用top命令终止CPU占用率高的进程 您可以直接在top运行界面快速终止相应的异常进程。操作步骤如下： 在top命令运行的同时，按下小写的“k”键。 输入要终止进程的PID。 进程的PID为top命令回显的第一列数值。例如，要终止PID为52的进程，直接输入“52”后回车。 操作成功后，会出现如图2所示信息，按回车确认。 图2 操作成功示例 kswapd0进程占用导致CPU使用率高 可通过以下步骤排查进程的内存占用情况。 通过top命令查看kswapd0进程的资源使用。 如果kswapd0进程持续处于非睡眠状态，且运行时间较长，可以初步判定系统在持续的进行换页操作，可以将问题转向内存不足的原因来排查。 通过vmstat命令进一步查看系统虚拟内存的使用情况。 如果si和so的值也比较高，说明系统存在频繁的换页操作，系统物理内存不足。 si：每秒从交换区写到内存的大小，由磁盘调入内存。 so：每秒写入交换区的内存大小，由内存调入磁盘。 对于内存不足问题，可以通过free、ps等命令进一步查询系统及系统内进程的内存占用情况，做进一步排查分析。 临时可通过在业务空闲期重启应用或者系统释放内存。 如果要从根本上解决内存不足的问题，需要对服务器内存进行扩容，扩大内存空间。如果不具备扩容的条件，可通过优化应用程序，以及配置使用大页内存来进行缓解。

CPU占用率高问题定位 远程登录云服务器。 执行以下命令查看当前系统的运行状态。 top 系统回显样例如图1所示。 图1 回显信息 查看显示结果。 命令回显第一行：20:56:02 up 37 days，1 user, load average: 0.00, 0.01, 0.05的每个字段含义如下： 系统当前时间为20:56:02，该云服务器已运行37天，当前共有1个用户登录， 最近1分钟、最近5分钟和最近15分钟的CPU平均负载。 命令回显第三行：CPU资源总体使用情况。 命令回显第四行：内存资源总体使用情况。 回显最下方显示各进程的资源占用情况。 在top页面，可以直接输入小写“q”或者在键盘上按“Ctrl+C”退出。 除了直接输入命令，您还可以单击VNC登录页面屏幕右上角的“Input Command”，在弹出的对话框中粘贴或者输入相应命令，单击“Send”。 在top运行中常用的内容命令如下： s：改变画面更新频率。 l：关闭或开启第一部分第一行top信息的表示。 t：关闭或开启第一部分第二行Tasks和第三行Cpus信息的表示。 m：关闭或开启第一部分第四行Mem和 第五行Swap信息的表示。 N：以PID的大小的顺序排列进程列表。 P：以CPU占用率大小的顺序排列进程列表。 M：以内存占用率大小的顺序排列进程列表。 h：显示命令帮助。 n：设置在进程列表所显示进程的数量。 通过ll /proc/PID/exe命令可以查看每个进程ID对应的程序文件。

成本优化 成本控制 企业可以在成本中心的“预算管理”页面创建精细粒度的预算来管理成本和使用量，在实际或预测超过预算阈值时，自动发送通知给指定消息接收人。企业还可以创建预算报告，定期将指定预算进展通知给指定消息接收人。 例如企业需要创建一个L实例的成本预算，每月预算金额为2000元，当预测金额高于预算金额的80%时发送预算告警。那么，创建的预算如下： 图3 预算基本信息 图4 设置成本范围 图5 设置提醒 详细介绍请参见使用预测和预算来跟踪成本和使用量。 资源优化 成本中心可以通过监控云服务器的历史消费情况和CPU使用率，为客户提供云服务器资源的空闲识别和优化建议，寻找节约成本的机会。您还可以根据成本分析阶段的分析结果识别成本偏高的资源，通过 云监控服务 监控资源的使用情况，确定成本偏高的原因，然后采取针对性的优化措施。 监控资源利用率，评估当前配置是否过高。例如：CPU、内存、云硬盘、带宽等资源的利用率。 监控闲置的资源，避免浪费。例如：未挂载的云硬盘、未绑定的EIP等。

成本分配 成本管理的基础是树立成本责任制，让各部门、各业务团队、各责任人参与进来，为各自消耗云服务产生的成本负责。企业可以通过成本分配的方式，将云上成本分组，归集到特定的团队或项目业务中，让各责任组织及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配，您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集，从而对子账号进行财务管理。详细介绍请参见通过关联账号维度查看成本分配。 通过企业项目进行成本分配 在进行成本分配之前，建议开通企业项目并做好企业项目的规划，可以根据企业的组织架构或者业务项目来划分。在购买云资源时选择指定企业项目，新购云资源将按此企业项目进行成本分配。详细介绍请参见通过企业项目维度查看成本分配。 图1 为云服务器选择企业项目 通过成本标签进行成本分配 标签是华为云为了标识云资源，按各种维度（例如用途、所有者或环境）对云资源进行分类的标记。推荐企业使用预定义标签进行成本归集，具体流程如下： 图2 为云服务器添加标签 详细介绍请参见通过成本标签维度查看成本分配。 使用成本单元进行成本分配 企业可以使用成本中心的“成本单元”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本，或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者，因此不能直接归属到某一类别。使用拆分规则，可以在各团队或业务部门之间公平地分配这些成本。详细介绍请参见使用成本单元查看成本分配。

当使用流量超出L实例套餐的流量包限额时，流量如何计费？ 云耀云服务器L实例套餐内包含每月固定流量包，固定流量使用完后将产生超额流量。超额流量以按流量计费的方式按需收取费用。超额流量的单价为0.8元/GB。 L实例仅对出网流量（ 云服务器访问外网 的流量）计费，入网流量（外部访问云服务器的流量）不计费。 月流量包使用周期为自购买日期起到下个月相同时间时段内。例如6月5日10:00:00购买L实例，单月流量包使用截止时间为7月5日23:59:59。 流量包当月剩余流量按月清零，不累计至下月流量配额中。 父主题： 计费FAQ

计费模式概述 不同的HE CS 类型计费模式不同。 HECS类型 计费模式 说明 L实例 包年/包月 购买L实例时仅支持包年/包月计费模式。 包周期计费为按照订单的购买周期来进行结算。 L实例以套餐形式整体售卖管理，随L实例创建的资源不支持单独卸载、解绑、删除、退订等操作。 L实例套餐内包含每月固定流量包，固定流量使用完后将产生超额流量。超额流量以按流量计费方式收取费用。超额流量的单价为0.8元/GB。 X实例 按需计费 按照云服务器实际使用时长计费。秒级计费，按小时结算。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于设备需求量长期稳定的成熟业务。 按需计费：一种后付费模式，即先使用再付费，按照云服务器实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。一般适用于电商抢购等设备需求量瞬间大幅波动的场景。 表1列出了两种计费模式的区别。 表1 计费模式 计费模式 包年/包月L实例 按需计费X实例 付费方式 预付费 按照订单的购买周期结算。 后付费 按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 关机是否计费 关机对包年/包月的L实例计费无影响。 云服务器按订单的购买周期计费。 关机后，基础资源（包括vCPU、内存、镜像）不计费。其他绑定资源（如云硬盘、弹性公网IP、带宽等）正常计费。 是否支持变更计费模式 不支持 不支持 是否支持变更规格 支持变更实例规格。 支持变更实例规格。 是否支持备案 支持备案。 需包月3个月及以上（包含多次续费后累计时长）。 不支持备案。 父主题： 计费模式

怎样将资源解冻？ 欠费冻结：用户可通过续费或充值来解冻资源，恢复云服务器正常使用。欠费冻结的云服务器允许续费、释放或删除；已经到期的包年/包月云服务器不能发起退订，未到期的包年/包月云服务器可以退订。 违规冻结：违规冻结的云服务器允许续费、释放或删除；已经到期的包年/包月云服务器不能发起退订，未到期的包年/包月云服务器可以退订。 公安冻结：已被公安冻结的云服务器允许续费，不允许释放或删除。被公安冻结的包年/包月云服务器不允许退订，在退订管理页面仍然显示，只是不能退订。

SMS 迁移问题 问题1：迁移中源端有新增的数据如何处理？ 回答：启动目的端后，如果源端有新增的数据，单击此服务器所在行的操作列的“同步”，开始下一次复制（增量数据），当迁移状态为“持续同步”时，单击“启动目的端”，迁移实时状态为“已完成”时，说明新增数据已同步到目的端。 问题2：迁移过程中目的端为什么多出来一个40G的磁盘？ 回答： 主机迁移服务 在迁移过程中会在目的端服务器临时创建并挂载一个容量为40GB的磁盘，用于辅助迁移，该磁盘会在迁移结束后自动删除。迁移期间，请勿对该磁盘进行删除操作或将计费模式转为包周期操作，否则会导致迁移失败。

KAFKA迁移问题 问题8：Kafka消息堆积了怎么办？ 回答： 登录Kafka实例控制台，单击产生告警的实例名称，进入实例详情页。 在左侧导航栏，单击“监控”，进入监控页面。 在“消费组”页签中，查看“消息堆积数（消费组可消费消息数）”，找出消息堆积的消费组。 在左侧导航栏，单击“消费组管理”，进入消费组列表页面。 查看消息堆积的消费组是否有消费者在消费，如果有，让业务方加快消费效率，如果没有，酌情删掉不使用的消费组。 问题9：为什么删除消费组不生效？ 回答：您开启了自动创建消费组功能，且业务代码正在连接该消费组。所以，如果没有停止您的业务，删除了消费组后，消费消息时还是会自动创建该消费组。关闭自动创建消费组功能，即在Kafka控制台的“配置参数”页面，把“auto.create.groups.enable”设置为“false”，然后再删除消费组。部分实例在“配置参数”中没有“auto.create.groups.enable”参数，具体以控制台为准，此时建议修改业务代码，使业务代码不再连接该消费组，然后再删除消费组。

数据库迁移问题 问题3：DRS支持断点续传吗？ 回答：针对数据库的迁移、同步场景，在迁移、同步过程中由于不可抗拒因素（例如网络波动）导致的任务失败，DRS通过记录当前解析和回放的位点（该位点同时也是数据库内部一致性的依据），下次从该位点开始回放的方式来实现断点续传，以确保数据的完整性。 增量阶段的迁移、同步，DRS会自动进行多次断点续传的重试，全量阶段的MySQL迁移，系统默认进行三次自动续传，无需人工干预。当自动重试失败累计一定次数后，任务会显示异常，需要人为根据日志来分析无法继续的原因，并尝试解决阻塞点（例如数据库修改了密码），如果环境无法修复，如所需日志已经淘汰，则使用重置功能可以完全重新开始任务。 问题4：MySQL迁移出现数据膨胀怎么办？ 回答：DRS在全量迁移阶段，为了保证迁移性能和传输的稳定性，采用了行级并行的迁移方式。当源端数据紧凑情况下，通过DRS迁移到云上RDS for MySQL后，可能会出现数据膨胀现象，使得磁盘空间使用远大于源端。针对这种情况，客户可选择在目标库中执行以下命令，进行优化整理从而缩小空间。 optimize table table_name 由于命令optimize会进行锁表操作，所以进行优化时要避开表数据操作时间，避免影响正常业务的进行。

对象存储迁移 问题 问题5：源端云服务商不在 OMS 支持范围，该如何迁移？ 回答：源端对象可以通过HTTP或HTTPS公开访问，且用户能够自行列举出所有待迁移对象名称和对应的下载链接。 问题6：为什么有时候迁移速度会很慢? 回答：迁移速度的影响因素很多，比如迁移的对象大小、正在迁移的对象个数、网络传输情况等。在不考虑网络环境的情况下分析迁移速度慢的原因可能有下面几个方面： 大量的小对象 由于每个迁移任务的最大并发数是固定的，导致同时在迁移的对象数是有限制的。迁移前会列举对象，每个对象迁移完成后，都会对比源端和目的端是否一致。相比于迁移大对象，迁移同样大小的数据量，会有更多的列举对象和对比对象操作带来的时间消耗。 解决方式：通过创建迁移任务组，将源端待迁移对象智能拆分到多个迁移任务中并行迁移，提升迁移速度。 迁移数量较少的大对象 当迁移的对象数量较少（小于50个）且大小很大时，由于只会有一个线程迁移单个对象，对象数又较少，导致迁移的并发低，所以迁移速度会较慢。 这种情况请耐心等待，无法提升迁移的速度。

资源准备 表1 资源准备 产品 规格实例 说明 分布式消息服务kafka版 kafka.4u8g.cluster / 配置网络环境 Kafka实例分内网地址以及公网地址两种网络连接方式。本次使用公网地址，消息生成与消费客户端需要有公网访问权限，并配置如下安全组。 方向 协议 端口 源地址 说明 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka（开启SSL加密）。 创建topic 在新的Kafka实例上创建与原Kafka实例相同配置的Topic，包括Topic名称、副本数、分区数、消息老化时间，以及是否同步复制和落盘等

迁移步骤 创建迁移任务组 图2 迁移任务组 选择源端/目的端页面 图3 选择源端/目的端页面 设置任务组参数 图4 设置任务组参数 选择迁移方式 图5 选择迁移方式 参数设置 图6 参数设置 选择“忽略元数据”，OMS只迁移源端ContentType元数据。 选择“否”，不过滤源端待迁移对象。 目的端配置选项 图7 目的端配置选项 不勾选“KMS”，迁移后对象均不加密。 选择“是”，输入指定前缀，源端对象迁移到目的端后，会在对象名前增加设置的前缀。 高级配置 图8 高级配置 保持默认即可 开启迁移 图9 开启迁移 迁移数据统计 在迁移过程中，每迁移完一个对象，会对该对象进行一致性校验，如果不一致则会将该对象记录到失败对象列表中。 OMS会累积记录迁移失败对象个数，可以通过任务详情查看具体的迁移数据统计。 图10 迁移数据统计

准备步骤 创建源端和目的端的访问密钥（AK/SK）并授权 源端：如果源端为其他云服务商，请参见各云服务商迁移教程中的准备工作创建AK/SK并添加权限。 目的端：请参见创建访问密钥（AK/SK）和目的端桶权限获取创建AK/SK并添加权限。 创建目的端桶 预估迁移数据 预估需要迁移的数据，包括迁移存储量和迁移文件个数。您可以在其他云OSS管理控制台页面，查看待迁移的存储量和对象（文件）数量。 通常OMS的迁移速度参考值是10~20 TB每天。 解冻源存储空间待迁移数据 由于在线迁移服务并不会对源端数据执行解冻操作。如果您源端有未解冻、解冻中的文件，则这些文件都会迁移失败。 配置迁移用户权限 源端桶对应账户需要的权限：只读访问 对象存储服务 (OSS)的权限（XXyunOSSReadOnlyAccess）。 目的端桶需要的权限包括：列举桶，获取桶位置，列举对象，获取对象元数据，获取对象内容，上传对象，列举已上传段，取回归档存储对象。

应用场景 企业数字化转型往往以“上云”作为起手式，先业务上云，再云上创新，乘云启航，逐步实现企业数智化转型战略。然而业务上云是一项复杂的系统性工作，对于中大型企业来说也绝非易事。企业在上云过程中会面临诸多挑战，比如业务影响、适配改造、安全合规、数据一致性、成本控制等，需要一套站在企业视角的框架和方法论来指导企业上云。 恒驰上云规划实施提供了站在企业视角的完整的上云迁移方法论，包括如下四个模块： 上云的流程 企业上云的思路是先整体规划，然后小范围试点，最后再大规模上云。企业上云的生命周期分为8个阶段，分别是调研分析、评估规划、上云准备、云上架构设计、上云迁移试点、整体批次规划、大规模上云迁移和云上运维与治理，其中调研分析贯穿整个上云周期。 学习和复盘 在整个上云迁移过程中，企业要不断学习和复盘，比如试点复盘、切换演练复盘、每批次迁移复盘等，通过持续学习和复盘，企业可以不断改进上云方案，推动上云迁移项目成功，提高云化转型的质量和效果。 项目管理 对于大规模的上云迁移，需要指定专职的项目经理。项目经理在企业大规模上云迁移中扮演着关键的角色，有效的规划、协调、管理和控制迁移过程是项目顺利、高效完成的保证。项目经理的专业经验和技能对于成功推动大规模上云迁移与实现预期的上云转型目标至关重要。 践行三转 当企业决定进行云化转型时，除了技术层面的考虑外，还需要关注以下三个方面的转变，即转意识、转组织和转能力，整个上云迁移的过程都在落地和践行“三转”。通过“三转”的综合推进，企业可以更好地适应和应对云化转型带来的挑战和机遇。

方案架构 恒驰为企业提供一站式、高效的云迁移方案。从深入了解企业的本地IT环境、业务特点开始，恒驰专注于为您量身定制最适合的迁移策略。在保证数据完整性和应用连续性的前提下，恒驰的专家团队确保迁移过程流畅、安全，使企业在最短时间内享受云技术带来的便利。完成迁移后，恒驰还提供持续的技术支持和优化建议，帮助企业在公有云上稳健发展，迎接数字化时代的挑战。 图1 业务架构 伙伴基于一切皆服务理念，解决方案由基础设施服务、技术服务、经验服务、专业服务等组成，基于华为公有云云平台及能力提供一站式的上云迁移服务。 主要场景包括新业务上云、本地IDC迁移上云、友商迁移上云，涉及现网调研、上云评估、上云业务架构设计、 主机迁移 、容器迁移、中间件迁移、非结构化数据迁移、数据库迁移、压力测试、安全迁移规划等服务内容。

方案优势 上云方法论指导 提供了一套综合的上云迁移方法论，涵盖了企业完整的上云生命周期，可以指导企业进行整体的上云规划、迁移试点和大规模上云 上云流程指导 提供了详细的上云迁移流程和落地指导，包括应用迁移的流程（小循环）和大数据迁移的流程，可以指导企业实施具体的上云迁移工作 最佳实践指导 提供了大量的上云方案最佳实践和经验的分享，比如技术评估和适配改造的最佳实践等，可以指导企业更加有效地规划和实施上云转型 项目管理指导 提供了上云项目管理的方法和落地实践，比如组织上云开工会和大规模演练等，可以指导企业有效的管理和控制整个上云迁移的过程

方案概述 迁移数据时，可用的迁移工具多种多样。本节提供如以下表格中的迁移工具教程示例以及各迁移工具的特点和应用场景，本节选择使用rsync命令行工具迁移数据：通过mount方式挂载访问SFS Turbo，将本地NAS存储中的数据迁移至SFS Turbo。 表1 迁移工具教程 迁移工具 特点 应用场景 使用SFTP客户端迁移数据 支持众多操作系统平台。 提供图形化操作界面。 适用少量文件需要一次性上传至NFS文件系统和将NFS文件系统内的数据下载到本地。 使用rsync命令行工具迁移数据 支持Linux/Windows/macOS操作系统，本地Linux或macOS系统可配置crontab向云上NAS自动备份数据。 上传下载后的文件元数据不变（包括属主及权限信息）。 支持数据增量同步。 适用大量文件上传和下载或需要频繁上传和下载的任务。 使用Robocopy工具迁移数据 Windows自带工具。 支持多线程、断点续传。 适用10 T以上的上亿小文件，单个文件100K左右的海量数据迁移。 支持数据增量同步。 适用Windows操作系统海量数据多线程、断点续传 。 使用IIS FTP迁移数据 支持众多操作系统平台。 提供图形化操作界面。 适用IIS服务访问NAS SMB文件系统。 使用fpsync命令行工具迁移数据 多线程迁移数据。 适用多线程迁移数据至NFS文件系统。

操作步骤 步骤一：安装rsync工具 在Linux云服务器中执行以下命令安装rsync工具 sudo yum install rsync 图1 安装rsync工具1 rsync -version 图2 安装rsync工具2 步骤二：获取本地NAS存储的挂载地址和访问文件系统的挂载地址 访问本地NAS存储 mount -t nfs -o vers=3,timeo=600,noresvport,nolock /mnt/src 访问SFS Turbo文件系统 mount -t nfs -o vers=3,timeo=600,noresvport,nolock /mnt/dst 步骤三：全量&增量同步 执行以下命令，将本地目录以增量同步的方式，上传到华为云SFS Turbo rsync -avP /mnt/src root@192.168.0.2.0:/mnt/dst 命令中的参数请根据实际值修改，参数含义如下： 表3 参数说明 参数 说明 /mnt/src 需要上传的本地目录名。 root 上传目标NAS文件系统目录的属主。 192.0.2.0 已挂载文件存储NAS文件系统的Linux/Windows ECS公网IP。 /mnt/dst ECS实例中用来挂载SFS Turbo的路径。 图3 增量同步

网络资源规划表 表2 基础网络资源规划 云资源 配置项 配置明细 数量 每月费用 虚拟VPC VPC-sh-test1 网段选择172.16.0.0/16，其他采用默认配置 1 00.00 Subnet 子网段 172.16.0.0/24 1 00.00 安全组 1、DB-SG 2、ECS-SG 1、放通3306、ICMP、22 2、按业务实际需求添加 1 00.00 VPN网关 企业版 基础型 | 10个连接组数主EIP：10Mbit/s 主EIP2：10Mbit/s 1 2,143.75 专线 端口类型 1GE 1 专线报价基本上分为四块：华为云内部骨干线路费用+pop接入点端口费用+楼内跳线+运营商专线费用。请联系专线经理获取报价 弹性公网IP 带宽费用 独享 | 全动态BGP | 按带宽计费 | 10Mbit/s 1 515.00 弹性负载均衡 规格 应用型(HTTP/HTTPS) 10 LCU 独享型 1 200.00

专线组网 图1 专线组网 云专线服务主要包括物理连接、虚拟网关、虚拟接口三个组成部分： 物理连接 物理连接是用户本地数据中心与接入点的运营商物理网络的专线连接。物理连接提供两种专线接入方式：标准专线接入，是用户独占端口资源的物理连接，此种类型的物理连接由用户创建，并支持用户创建多个虚拟接口。托管专线接入，是多个用户共享端口资源的物理连接，此种类型的物理连接由合作伙伴创建，并且只允许用户创建一个虚拟接口。用户通过向合作伙伴申请来创建托管物理连接，需要合作伙伴为用户分配VLAN和带宽资源。 虚拟网关 虚拟网关是实现物理连接访问VPC的逻辑接入网关，虚拟网关会关联用户访问的VPC，一个虚拟网关只能关联一个VPC，多条物理连接可以通过同一个虚拟网关实现专线接入，访问同一个VPC。 虚拟接口 虚拟接口是用户本地数据中心通过专线访问VPC的入口，用户创建虚拟接口关联物理连接和虚拟网关，连通用户网关和虚拟网关，实现云下数据中心和云上VPC的互访。

基础服务资源规划 表1 基础服务资源规划 资源类别 配置项 配置明细/用途 数量 每月/年费用 ECS 规格：2vCPUs | 4GB | c6.2xlarge.2 操作系统：Linux 区域：华东-上海一 VPC名称：VPC1 迁移源端ECS到目的端ECS 1 236.50 ECS 规格：8vCPUs | 16GB | c7.2xlarge.2 操作系统：Linux 区域：华北-北京四 VPC名称：VPC1 已创建/mnt/dst的目录 1 850.00 SFS 通用型 | SFS Turbo标准型 | 500GB NFS协议文件系统 1 200.00 CBR 存储库类型 云服务器备份存储库 | 1000GB 1 200.00 OBS 标准存储单AZ存储包 | 5TB / 1 456.00 SMS / 主机迁移工具 1 / DRS / 迁移工具，迁移源端数据库到目的端 1 / RDS MySQL 规格：存储空间 MySQL 5.7 | 单机通用 | 2 vCPUs | 4GB | 40GB 1 196.00 RDS PostgreSQL 规格：存储空间 PostgreSQL | 14 | 主备 | 独享型 | 4核8GB SSD云盘 | 40GB 1 1144.00 RDS SQL Server 规格：存储空间 SQL Server | 2019标准版 | 主备 | 独享型 | 2核8GB SSD云盘 | 40GB 1 2973 云数据库 GaussDB 规格 3.222 企业版 | 分布式版 | 独立部署 | 通用增强Ⅱ型 | 8核64GB | 3分片 | 3副本 管理节点数量：3个 | GTM 管理节点数量：3个 | CMS 协调节点数量：3个 存储空间：超高IO | 480GB 1 121,728.00 DCS 基础版 | 5.0 | 主备 | X86 | DRAM | 2 | 512 MB / 1 33.75 分布式消息服务KAFKA版 规格 单个代理存储空间 kafka.2u4g.cluster | 代理个数：3 单个代理存储空间 超高IO | 100GB 1 2190 分布式消息服务RocketMQ版 规格 单个代理存储空间 rocketmq.4u8g.cluster.small | 代理个数：1 超高IO | 300GB 1 4080.00 分布式消息服务RabbitMQ版 规格 单个代理存储空间2 集群 | 2u4g.cluster | 代理个数：3 超高IO | 100GB 1 2190.00 DDS 社区版 | 副本集 | 三节点 | 通用型 | 2核4GB 超高IO | 100GB readWriteAnyDatabase权限或目标库的readWrite权限 1 815 DDoS防护 保底防护带宽 业务带宽 防护域名数 保底防护带宽： 10Gbit/s 业务带宽：100Mbit/s 防护域名数：50个 1 8,820.00 安全云脑 规格 专业版 1 150.00 企业主机安全 规格 专业版 1 90.00 漏洞管理服务 服务类型 漏洞管理服务 | 专业版 | 1个 Web漏扫：包含1个二级域名或IP:端口 主机漏扫：包含20个IP地址 主要功能 Web漏扫：支持深度网站漏洞检测、高危紧急漏洞应急检测、内容合规扫描（文字）、安全监测、报告导出 主机漏扫：支持操作系统 漏洞扫描 、操作系统基线检查、中间件基线检查(支持小网扫描，需配置公网IP或跳板机) 1 300.00 Web应用防火墙 规格选择 标准版 1 3,880.00 威胁检测服务 类型 基础包 DNS检测量230GB/月 CTS 检测事件数20百万/月 IAM 检测事件数2百万/月 OBS检测事件数300百万/月 1 5300.00 云证书管理服务 产品类型 SSL证书 | OV（企业型） | DigiCert | 单域名 | 1年 | 1个 1 4,648.00 父主题： 资源和成本规划

升级至HSS（新版）的必要性 后续产品演进，HSS（新版）将完全替换HSS（旧版），届时HSS（旧版）将会下线。 在HSS（新版）中，新增了部分功能以及对部分功能的能力做了大幅度提升，升级后可提升服务器的安全防护能力，大致如下： 表1 HSS（新版）主要功能迭代情况 功能名称 功能描述 功能形态 未防护资产的免费体检 针对未购买HSS防护配额的服务器进行定期免费扫描检测，并提供报告预览。 新增 资产指纹管理 深度扫描服务器中的资产，将资产划分为账号、端口、进程、Web目录、软件信息等不同维度进行统计展示和管理。 新增 资产重要性 您可对名下所有服务器按照服务器资产绑定资产重要性等级，绑定后可按照不同等级的资产进行批量管理，包括但不限于部署策略、开启/关闭防护、分配组、安装Agent，操作详情请参见关联资产重要性。 新增 应用漏洞 漏洞扫描新增对应用漏洞的扫描，包括检测Web服务、Web框架、Web站点、中间件、内核模块等资产信息存在的漏洞，操作详情请参见查看漏洞详情。 新增 基线报告导出 您可对基线检查的配置检查和经典弱口令检测的结果进行筛选导出。 新增 应用防护 为运行时的应用提供安全防御，您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。包括但不限于对SQL注入、命令注入、反序列化输入、文件遍历、JSP执行操作系统命令等漏洞的扫描检测，操作详情请参见开启应用防护。 新增 Agent安装 支持一键批量安装Agent，操作详情请参见批量安装Agent。 新增 防护配额管理 支持防护配额版本有低版本直接升级至高版本，操作详情请参见防护配额管理。 新增 基线检查 支持自定义勾选等保合规的基线检测项，生成检测结果，操作详情请参见管理基线检查策略。 新增 告警事件管理 支持对勒索软件、反弹Shell告警的隔离查杀处理。 支持对一般漏洞利用、Redis漏洞利用、Hadoop漏洞利用、MySQL漏洞利用的检测告警。 操作详情请参见告警事件概述。 新增 安全报告 支持自定义报告周期、报告内容、发送时间，操作详情请参见订阅安全报告。 升级 勒索病毒 实时监控全盘新增文件及运行中的进程，动态生成诱饵文件进行主动诱捕，识别勒索软件，同时可自定义策略对服务器进行定期备份，操作详情请参见开启勒索病毒防护。 升级 容器安全 防护 将原有的 容器安全服务 合并至HSS（新版），将服务器负载进行统一管理。 合并

修订记录 发布日期 修改说明 2024-01-08 第十六次正式发布。 新增： 批量安装Agent失败，提示“网络不通”怎么处理？ 高危命令执行告警，如何添加白名单？ 2023-12-21 第十五次正式发布。 Agent检测时占用多少CPU和内存资源？，增加病毒查杀任务执行时占用说明。 如何让主机安全服务停止计费？，支持批量退订。 2023-10-27 第十四次正式发布。 新增： 手动扫描漏洞或批量修复漏洞时，为什么选不到目标服务器？ 容器集群防护插件卸载失败怎么办？ 升级Agent失败，提示“替换文件失败”怎么处理？ 修改： 服务中文名称修改为“主机安全服务” 2023-09-27 第十三次正式发布。 新增： HSS支持跨账号使用吗？ 无法访问Windows版本Agent下载链接？ HSS由旧版升级为新版后不告警了，怎么办？ 漏洞修复失败怎么办？ 如何切换服务器绑定的防护配额版本？ ECS服务器已经删除，为什么HSS的服务器列表仍显示有该服务器？ 2023-07-25 第十二次正式发布。 新增： 如何开启主机安全服务自保护？ 主机安全服务自保护无法关闭怎么办？ 服务器远程端口已修改，为什么暴力破解记录仍显示旧端口？ 自建k8s容器如何开启apiserver审计功能？ 2023-07-19 第十一次正式发布。 新增： 如何取消自动续费？ 优化： Agent如何升级？，增加手动升级Agent2.0操作。 2023-06-15 第十次正式发布。 新增： 企业项目为什么无法查看“所有项目”？ 2023-05-24 第九次正式发布。 新增： HSS是否支持防护本地IDC服务器？ HSS是否和其他安全软件有冲突？ 购买HSS后会自动安装Agent吗？ 频繁收到HSS暴力破解告警如何处理？ 收到来自华为云IP的暴力破解告警如何处理？ HSS的恶意程序检测周期、隔离查杀是多久一次？ HSS拦截的IP是否需要处理？ 如何防御勒索病毒攻击？ HSS如何查询漏洞、基线已修复记录？ 如何关闭节点防护？ HSS可以跨区域使用吗？ 如何清除HSS中配置的SSH登录IP白名单？ 不能通过SSH远程登录主机，怎么办？ 如何使用双因子认证？ 开启双因子认证失败，怎么办？ 开启双因子认证后收不到验证码？ 为什么开启双因子认证后登录主机失败？ 开启双因子认证时，如何添加接收验证通知的手机号或邮箱？ 双因子认证中，验证码是一个固定的验证码吗？ 如何修改接收告警通知的手机号或邮箱？ 配置告警通知时选不到消息主题？ 是否可以不开启HSS告警通知？ 如何修改告警通知的通知项？ 云服务器列表为什么看不到购买的服务器？ 开启防护时显示没有配额？ HSS到期后不续费，对主机和业务有影响吗？ 退订后重购HSS，是否需要重新安装Agent与配置主机防护信息？ 2023-04-27 第八次正式发布。 新增： 如何为主机安全服务续费？ 如何让主机安全服务停止计费？ 2023-03-06 第七次正式发布。 新增FAQ： 如何使用镜像批量安装Agent？ 2023-01-18 第六次正式发布。 新增FAQ： 购买了主机安全服务版本为什么没有生效？ 容器安全如何切换至主机安全服务控制台？ 2022-11-15 第五次正式发布。 新增：主机安全服务不升级有什么影响？ 2022-11-04 第四次正式发布。 新增：主机安全服务升级失败怎么处理？ 2022-10-28 第三次正式发布。 新增章节： Agent如何升级？ 勒索防护的备份与云备份有什么区别？ 2022-10-20 第二次正式发布。 新增Agent问题所有章节。 2022-08-31 第一次正式发布。

HSS与CodeArts Inspector、WAF有什么区别？ 华为云提供的HSS、CodeArts Inspector、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、CodeArts Inspector、WAF的区别 服务名称 所属分类 防护对象 功能差异 主机安全服务（HSS） 基础安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞管理服务（CodeArts Inspector） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 准确访问防护 父主题： 产品咨询

解决办法 确认主机状态是否为“运行中”。 是：请执行2继续排查问题。 否：主机状态为“运行中”时，才能执行Agent安装，请排查主机状态确认主机恢复运行后重试安装。 确认批量安装Agent的主机是否在同一个VPC下。 是：请执行3继续排查问题。 否：通过账号密码一键批量安装Agent的安装方法仅适用于为同一个VPC下的主机进行安装。您可以参考通过安装命令批量安装Agent进行批量安装。 确认批量安装Agent的主机账号密码是否相同。 是：请执行4继续排查问题。 否：通过账号密码一键批量安装Agent的安装方法仅适用于为账号密码相同的主机进行安装。您可以参考通过安装命令批量安装Agent进行批量安装。 执行以下命令，确认主机安全组出方向是否放通100.125.0.0/16网段的10180端口。 curl -kv https://hss-agent.区域代码.myhuaweicloud.com:10180 命令中的区域代码，每个区域不同，各区域代码请参见地区和终端节点。 以“华北-北京一”为例，完整命令示例：curl -kv https://hss-agent.cn-north-1.myhuaweicloud.com:10180 已放通：ping命令执行正常，表示已放通100.125.0.0/16网段的10180端口，请执行5继续排查问题。 未放通：ping命令执行后，界面卡住不动，表示未放通100.125.0.0/16网段的10180端口，请参见添加安全组规则放通该端口。 执行以下命令，确认主机DNS能否正常解析下载Agent的域名。 ping -c 1 hss-agent.区域代码.myhuaweicloud.com 命令中的区域代码，每个区域不同，各区域代码请参见地区和终端节点。 以“华北-北京一”为例，完整命令示例：ping -c 1 hss-agent.cn-north-1.myhuaweicloud.com 解析成功：界面回显解析出的IP，表示DNS解析正常，请执行6继续排查问题。 解析失败：界面回显“name or service not known”或未解析出IP，表示DNS解析失败。请执行以下操作修改DNS服务器。 执行以下命令打开resolv.conf文件。 vi /etc/resolv.conf 在文件中添加华为云内网 DNS地址 ，DNS地址请参见华为云的内网DNS。 例如，华北-北京一的DNS地址为100.125.1.250和100.125.21.250，则在文件中添加“nameserver 100.125.1.250”和“nameserver 100.125.21.250”。 输入wq，并按Enter键，保存。 执行以下命令，确认主机能否获取元数据。 curl http://169.254.169.254/openstack/latest/meta_data.json 如果界面有返回值，表示可获取元数据，请执行7继续排查问题。 如果界面无返回值或卡住不动，请参考Linux服务无法获取元数据怎么办?解决无法获取元数据问题。 确认主机安全组入方向是否禁用ICPM命令。 使用另一台主机ping需要安装Agent的主机IP，不能ping通，表示安全组入方向禁用了ICMP命令，请参见添加安全组规则放通ICMP命令。