华为云用户手册

配置公网访问-创建工作负载时设置 在云容器实例中，您只需要在创建负载时选择“公网访问”，然后配置如下参数。 服务名称：服务名称即Service的名称，Service是用于管理Pod访问的对象。 安装coredns：coredns插件为您的其他负载提供内部 域名 解析服务，如果不安装coredns则无法通过“服务名称:负载访问端口”访问负载。 ELB实例：选择ELB实例，如没有ELB实例可以单击“创建共享型ELB实例”去创建。 此处创建的ELB需要与负载所在命名空间在同一个VPC内。 CCI暂时不支持独享型负载均衡，建议您创建共享型ELB实例。 ELB协议：即公网访问使用的通信协议，支持HTTP、HTTPS、TCP和UDP协议。 Ingress名称：Ingress是用于管理七层协议访问的对象。此处如果不配置，云容器实例会默认负载名称作为Ingress名称。 公网域名（选择HTTP/HTTPS协议时可配置）：通过域名访问负载，公网域名需要您自行购买，并将域名解析指向所选的ELB实例弹性公网IP。 证书（选择HTTPS协议时必填）：SSL证书的导入方法请参见SSL证书。 ELB端口：选择使用的ELB访问的具体协议和端口。 负载端口协议：访问负载的通信协议，可选择TCP或UDP，如果ELB协议选择为HTTP/HTTPS，则负载端口协议为TCP。 负载端口配置： 负载访问端口：负载提供的访问端口。 容器端口：容器监听的端口，负载访问端口映射到容器端口。 HTTP路由配置 映射路径：URL访问的路径，必须以“/”开头，如“/api/web”，也可以是根路径“/”。 负载访问端口：前面设置的负载访问端口。 如下图所示，假如ELB实例的IP地址为“10.10.10.10”，则通过“http://10.10.10.10:6071/”就可以从公网访问到负载。 图3 配置公网访问参数

如何处理公网无法访问 公网能正常访问的前提是负载已处于运行中状态，如果您的负载处于未就绪或异常状态，公网访问将无法正常使用。 从负载开始创建到公网可以正常访问可需要1分钟到3分钟的时间，在此时间内网络路由尚未完成配置，请稍作等待。 负载创建3分钟以后仍然无法访问。单击创建的负载进入详情页，在详情页单击访问配置下面的“事件”标签，查看访问事件，查看是否有告警事件。如下两种常见的事件。 Listener port is repeated：ELB监听器端口重复，是由于之前发布公网访问的负载，删除之后立刻创建使用相同ELB端口的公网访问负载，ELB实际删除端口需要一定的时间，因此首次创建失败，可以选择删除负载重新创建，也可以等待5-10分钟，公网访问可正常使用。 Create listener failed：创建ELB监听器失败，创建监听器失败的原因一般是超过配额限度，请选择其他配额充足的ELB实例。 负载创建3分钟以后仍然无法访问，且无告警事件，可能原因是用户配置的容器端口实际上没有相应进程在监听，目前云容器实例服务无法检测出该类使用异常，需要您排查镜像是否有监听该容器端口。如果容器端口监听正确，此时无法访问的原因可能为ELB实例本身有问题，请排查ELB实例状态。

概述 公网访问是指使用外部网络访问负载，您可以给负载绑定共享型ELB实例（ELB必须与负载在同一个VPC内），通过ELB实例访问负载，当前外部访问支持四层和七层负载公网访问。 四层公网访问支持TCP和UDP两种协议，设置完成后可以通过“elb公网ip:elb端口”访问负载。 七层公网访问支持HTTP和HTTPS两种协议访问，设置完成后，可以通过“http://公网域名(或elb 公网ip):elb端口/映射路径”访问负载。 Service是基于四层TCP和UDP协议转发的，Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。 图1 Ingress-Service 下图是一个通过HTTP协议访问负载的示例。 图2 公网访问

cci_admin_trust委托说明 cci_admin_trust委托具有Tenant Administrator权限。Tenant Administrator拥有除 IAM 管理外的全部云服务管理员权限，用于对CCI所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 由于CCI对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCI功能的正常使用。因此在使用CCI服务期间，请不要自行删除或者修改cci_admin_trust委托。

使用限制 待挂载的云硬盘必须是按需付费，更多信息，请参见云硬盘计费。 云容器实例无法导入以下条件的磁盘：非当前可用区、状态非可用、系统盘、被CCE关联、非S CS I盘、非共享盘、专属存储、冻结盘、HANA服务器专属类型盘（高IO性能优化型/超高IO时延优化型）。 云硬盘存储卷只能当一个新盘来用。对于云容器实例没有挂载过的云硬盘存储卷，云硬盘存储卷中的内容对容器不可见。 对于已导入的云硬盘，如果在云硬盘控制台中删除该硬盘，云容器实例无法感知，建议您确定没有负载使用时再删除云硬盘。 一个云硬盘存储卷只能挂载到一个实例下，否则会存在数据丢失的情况。 云容器实例场景下不感知云硬盘扩容，如果需要扩容，请先在云容器实例控制台的“云硬盘存储卷”页面解关联对应的云硬盘，待云硬盘扩容完成后重新导入。 云容器实例创建工作负载时，不支持挂载不同可用区的云硬盘卷，如果选择不同可用区的云硬盘卷会导致POD无法启动。

日志采集可靠性说明 日志系统的核心功能在于记录业务组件的全生命周期状态数据（包括启动初始化、退出、运行时信息及异常事件等），主要服务于组件运行状态查看与故障根因分析等运维场景。 请注意标准输出流（stdout/stderr）及本地日志文件采用非持久化存储机制，其数据完整性受制于以下风险因素： 日志轮转压缩机制可能触发历史文件清除。 Kubernetes Pod实例终止导致的临时存储卷回收。 节点存储空间限制触发的操作系统自动清理。 尽管云原生日志采集插件通过多级缓冲、优先级队列、断点续传等机制优化采集可靠性，但在以下场景仍存在日志采集丢失的可能： 业务日志吞吐量超过采集端处理能力。 业务Pod终止并立即被容器引擎回收。 日志采集器Pod运行异常。 以下是基于云原生日志管理的最佳实践建议，请您认真考虑并采纳： 请通过专用高可靠性通道记录并持久化关键业务数据（如金融交易）。 请勿在日志中进行记录客户信息、支付凭证、会话令牌等敏感数据。

添加日志存储 在创建负载的时候设置为容器添加日志存储。 容器内日志路径：即日志存储挂载到容器内的挂载路径，需要保证应用程序的日志输出路径与该路径一致，这样日志才能写入到日志存储卷中。 请确保日志存储卷路径在当前容器内是不存在的，否则会把容器内这个路径下的内容清空。 目前只支持日志路径下的“.log”、“.trace”、“.out”日志文件。 最多只能采集20个日志文件，也就是说您的日志最多只能输出到日志路径下的20个文件中。 日志存储空间：日志的存储空间大小。 AOM 每月赠送每个租户500M的免费日志存储空间，超过500M时将根据实际使用量进行收费，计费规则请参见产品价格详情。 日志存储空间取值请确保为1或2，后台调api接口创建负载时，请确保取值为1GiB或2GiB。 该空间为免费空间，超时不采集，如果日志文件超过2G，请您提前做好转储。 图2 使用日志存储

查看Pod 有时，您也许会通过调用创建Pod接口或者使用kubectl直接创建Pod，这些Pod并不在某个负载或任务之下，不方便通过控制台管理。云容器实例提供了Pod管理功能，您可以通过“选择来源”更方便找到需要的Pod。 图2 选择Pod来源 您可以查看到所有Pod详情，包括基本信息、Pod中容器组成、Pod的监控信息、事件，以及使用远程终端访问Pod。您还可以对Pod进行删除操作，并查看Pod的日志。 图3 Pod详情

什么是Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器（container）、存储资源（volume）、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式： Pod中运行一个容器。这是Kubernetes最常见的用法，您可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。 Pod中运行多个需要耦合在一起工作、需要共享资源的容器。通常这种场景下是应用包含一个主容器和几个辅助容器（SideCar Container），如图1所示，例如主容器为一个web服务器，从一个固定目录下对外提供文件服务，而辅助的容器周期性的从外部下载文件存到这个固定目录下。 图1 Pod 实际使用中很少直接创建Pod，而是使用Kubernetes中称为Controller的抽象层来管理Pod实例，例如Deployment和Job。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和自愈能力。通常，Controller会使用Pod Template来创建相应的Pod。

命名空间与网络的关系 从网络角度，命名空间对应一个虚拟私有云（VPC）中一个子网，如图1所示，在创建命名空间时会关联已有VPC或创建一个新的VPC，并在VPC下创建一个子网。后续在该命名空间下创建的容器及其他资源都会在对应的VPC及子网之内。 通常情况下，如果您在同一个VPC下还会使用其他服务的资源，您需要考虑您的网络规划，如子网网段划分、IP数量规划等，确保有可用的网络资源。 图1 命名空间与VPC子网的关系

使用Service方式访问-创建工作负载时设置 在云容器实例中，您只需要在创建负载时，填写服务名称和负载的端口配置，即可通过“服务名称:负载访问端口”访问到该负载。 服务名称：服务名称即Service的名称，Service是用于管理Pod访问的对象。 安装coredns：coredns插件为您的其他负载提供内部域名解析服务，如果不安装coredns则无法通过“服务名称:负载访问端口”访问负载。 负载端口配置 协议：访问负载的通信协议，可选择TCP或UDP。 负载访问端口：负载提供的访问端口。 容器端口：容器监听的端口，负载访问端口映射到容器端口。

设置容器生命周期 云容器实例基于Kubernetes，提供了容器生命周期钩子，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。目前提供的生命周期钩子函数如下所示。 启动后处理（PostStart）：容器启动后触发。 停止前处理（PreStop）：容器停止前触发。 当前云容器实例仅支持命令行类型（Exec）钩子函数。 登录云容器实例控制台，在创建负载配置生命周期过程中，选择“启动后处理”或者“停止前处理”页签。 例如需要在容器中执行“/postStart.sh all”命令，则在界面上做如下配置即可，第一行是命令行脚本名称，第二行是参数。 图1 命令行脚本

操作步骤 容器配置填写完成后，打开“启动镜像快照”开关，选择自动匹配镜像快照或指定镜像快照。 自动匹配镜像快照 自动匹配将从用户创建的所有可用镜像快照中选择最优的镜像。按以下顺序进行匹配： a. 镜像匹配度：优先选择匹配度高的镜像快照，匹配度指的是Pod和镜像快照两者在镜像上的匹配情况。 b. 创建时间：优先选择创建时间更新的镜像快照。 明确指定 指定已有的镜像快照，并在“镜像快照”页签中选择镜像快照中的镜像。该镜像缓存必须为创建完成可用（Available）状态。

ConfigMap文件格式要求 ConfigMap资源文件支持json和yaml两种格式，且数据值大小不得超过1MB。 json格式 文件名称为configmap.json，配置示例如下： { "kind": "ConfigMap", "apiVersion": "v1", "metadata": { "name": "nginxconf", "namespace": "cci-namespace-demo" }, "data": { "nginx.conf": "server {\n listen 80;\n server_name localhost;\n\n location / {\n root html;\n index index.html index.htm;\n }\n}" } } yaml格式 文件名称为configmap.yaml，配置示例如下： kind: ConfigMap apiVersion: v1 metadata: name: nginxconf namespace: cci-namespace-demo data: nginx.conf: |- server { listen 80; server_name localhost; location / { root html; index index.html index.htm; } }

域名注册、解析和备案的关系 必须完成域名注册后，才能为域名配置解析记录。 域名的注册商和DNS服务商可以不一致，域名的DNS服务器设置决定了为域名提供解析的DNS服务商。 通过华为云注册的域名，默认使用华为云DNS进行解析。您可以通过修改域名的DNS服务器设置选择不同的DNS服务商进行域名解析。 通过华为云注册完成的域名需要在DNS（云解析服务）上添加域名及解析记录才可以被正常解析。 若域名的DNS服务器设置为其他DNS服务商，则需要到对应DNS服务商处为域名配置解析记录。 备案是国家和工信部的要求，其对应的主体是网站服务器以及域名，备案需要在域名注册和网站搭建之后进行。 备案与域名解析没有关系，域名访问网站包含以下两个阶段： Web浏览器通过DNS服务器进行域名解析，获取网站的IP地址。 浏览器访问网站IP。 域名解析实现访问网站的第一阶段，备案控制访问网站的第二阶段。如果网站没有进行备案，则即使域名成功解析，Web浏览器仍然无法成功访问网站IP。最终，访问网站失败。

通过域名访问网站流程 当用户想要部署一个网站或Web应用，并且使该网站能够在Internet上通过域名直接访问，需要为网站注册域名、备案以及配置解析，其流程如图1所示。 图1 通过域名访问网站配置示意图 注册域名 您可以选择华为云作为 域名注册服务 商为您的网站注册域名。 根据工信部要求，所有新注册域名均需实名认证，因此在进行域名注册时，需选择已创建并通过实名认证的信息模板来设置域名信息。未通过信息模板实名认证的域名，将被暂停域名解析，域名将无法被正常访问。 搭建网站 如果您选择在华为云搭建您的网站，建站入门从搭建方式、网站类型、操作系统等维度指导您完成网站的部署。 备案网站 根据国家以及工信部的要求，要开办网站必须先办理网站备案。如果您的网站服务器部署在华为云，您可以通过华为云的备案中心为您的网站进行备案。 配置网站解析 通过华为云注册成功的域名默认使用华为云DNS进行解析，其DNS服务器地址为： ns1.huaweicloud-dns.com：中国大陆各区域 DNS地址 ns1.huaweicloud-dns.cn：中国大陆各区域DNS地址 ns1.huaweicloud-dns.net：除中国大陆之外国家或地区DNS地址 ns1.huaweicloud-dns.org：除中国大陆之外国家或地区DNS地址 若要使您的域名被正常解析，您需要将域名托管至华为云的云解析服务，并添加域名到网站IP的解析记录。配置网站解析（华为云注册域名）指导您完成域名的托管。 购买SSL证书 如果想要实现网站的可信身份认证与安全数据传输，您可以通过华为云购买并部署SSL证书。当网站部署了SSL证书后，可以将HTTP协议替换成HTTPS协议，这样您就可以通过https://www.域名访问您的网站了。 完成上述操作后，在Web浏览器输入域名即可访问网站。

谁需要注册域名 创业者、中小企业：开启商机，从域名注册开始 作为个人、企业官网信息的形象展示，域名是您的重要资产。一个好听、好记的域名对企业的市场推广、产品营销、企业品牌建立都是至关重要的，在建设门户网站、 企业邮箱 前，建议您在域名上花一点心思~ 大中型企业、知名品牌企业：保护企业品牌，从域名开始 为防止他人恶意抢注、恶意使用品牌域名，建议您一并注册品牌相关的汉语拼音、英文全拼、英文缩写等； 为避免用户输入域名错误，被引流至非官方网站，建议您同时注册最常用的几个后缀（.com/.cn/.com.cn/.net/.org/.net.cn等）； 为全面保护域名，您还需要考虑品牌的相似拼写、企业子公司子品牌等。 域名投资者： 互联网是未来的趋势，域名行业是互联网最息息相关的投资领域。域名投资者可以注册、购买有价值的域名，然后通过转让域名获利。

如何访问域名注册服务 域名注册服务提供了Web化的服务管理平台，即管理控制台和基于HTTPS请求的API（Application Programming Interface）管理方式。 通过管理控制台上的简单配置，可以快速的让域名注册服务开始提供域名服务。 控制台方式 用户可直接登录管理控制台访问域名注册服务。 如果用户已注册帐户，可直接登录管理控制台，从主页选择“域名注册服务”。 如果未注册，请参见准备工作中的“注册华为云并实名认证”。 通过管理控制台上的简单配置，可以快速的让域名注册服务开始提供域名服务。 API方式 如果用户需要将域名注册服务集成到第三方系统，用于二次开发，请使用API方式访问域名注册服务，具体操作请参见《域名注册服务API参考》。

解释说明 子网 子网是用来管理实例网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的实例IP地址都属于该子网。 子网的创建与配置 PC允许租户通过配置VPC入站IP范围，来控制连接数据库的IP地址段。DDS实例运行在租户独立的VPC内。 租户可以创建一个跨可用区的子网组，之后可以根据业务需要，将部署DDS的高可用实例选择此子网完成，DDS在创建完实例后会为租户分配此子网的IP地址，用于连接数据库。 DDS实例部署在租户VPC后，租户可通过VPN使其它VPC能够访问实例所在VPC，也可以在VPC内部创建ECS，通过私有IP连接数据库。 租户可以综合运用子网和安全组的配置，来完成DDS实例的隔离，提升DDS实例的安全性。 产品价格详情

解释说明 集群 集群实例提供dds mongos（路由）、Config（配置）和Shard（分片）三类节点。您可以自由的选择dds mongos节点和shard节点的个数和配置，组建服务性能不同的文档数据库集群实例。如果业务系统除了要求高可用之外，还需要较高的可扩展性，建议选择集群。 图1 集群 副本集 文档数据库服务自动搭建副本集架构，您可以直接操作Primary和Secondary节点。文档数据库服务为您提供高可用，容灾切换等高级功能，使用过程中对应完全透明。对于需要保证高可用的中小型业务系统，建议选择副本集。 图2 副本集 图3 各节点副本集

DDS实例支持的缺省最大连接数配置是多少？ 虚拟私有云允许您在私有、隔离的网络创建虚拟网络环境，从中可以对私有IP地址范围、子网、路由表和网络网关等方面进行控制。借助虚拟私有云，您可以定义虚拟网络拓扑和网络配置，使其非常类似于您在自己的数据中心所操作的传统IP网络。 在下面的情况下您可能想在虚拟私有云中使用文档数据库服务： 您希望运行面向公众的Web应用程序，同时保留公众不可访问的后端服务器。您可以在一个虚拟私有云内同时创建一个文档数据库实例和弹性云服务器实例，同时为弹性云服务器实例分配公网IP，将Web服务器部署在弹性云服务器实例。

解释说明 通用型 通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。S6是不限制积分的共享型实例，实例性能不受积分的限制，也无额外积分收费。用户可在监控详情中了解CPU使用率和CPU积分的消耗情况。 增强型 增强型的规格实例，是新推出的一系列性能更高、计算能力更稳定的弹性云服务器规格，搭载 英特尔® 至强® 可扩展处理器，配套高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 增强II型 增强II型的实例搭载 第二代英特尔® 至强® 可扩展处理器，多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 鲲鹏KC1 鲲鹏KC1也叫鲲鹏通用计算增强型KC1，相比业界最新一代主流价格同规格实例，价格低20%。自研鲲鹏芯片，基于全栈自研特点，在政企、金融等安全要求较高的场景中也更具优势。 鲲鹏KC1高负载场景下，计算稳定性更优。对于网站/电商，游戏，视频，HPC基因测序，大数据分析等应用场景十分适合。

解释说明 文档数据库服务DDS支持重置数据库管理员账户名和密码设置。该账户应用于实例数据库的登录账户，具有管理权限。 账户名和密码在购买页面进行首次设置，账户名设置完成后无法更改，密码设置完成后可根据情况进行修改，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@#%^*-_=+?()$的组合。 如果您在创建实例时，选择创建后设置密码，在连接实例前，您需要先重置管理员密码，再通过该密码连接实例。因此请妥善管理密码，系统无法获取您设置的密码内容。

计费项都包含哪些？ 华为云DDS按照您实例规格和存储空间计费，即DDS的价格=实例规格价格+存储空间价格。 计费项 计费说明 数据库实例 对您选择的实例规格计费（包括三种实例类型：单节点实例、副本集实例、集群实例）。 针对实例提供包年包月和按需（小时）计费方式。 按照您选择的规格计费。 数据库存储 按照您选择存储空间收费 备份存储（可选） DDS的备份数据存储在OBS上。购买实例存储空间后，DDS将同比例赠送备份存储空间，用于存储备份数据。例如，您购买的实例存储空间为100GB时，会得到赠送的100GB备份存储空间。当备份数据没有超出100GB，将免费存储在OBS上；当备份数据超过100GB，超出部分将根据OBS的计费规则收费。 公网流量 DDS实例支持公网访问，公网访问会产生带宽流量费；DDS数据库实例在云内部网络产生的流量不计费。 华为云DDS管理费用详情，请参见产品价格详情。您可以通过DDS提供的价格计算器，选择您需要的实例规格，来快速计算出购买DDS实例的参考价格。 产品价格详情

数据库实例到期了怎么处理？ 客户在华为云购买产品后，如果没有及时的进行续费或充值，将进入宽限期。如宽限期满仍未续费或充值，将进入保留期。在保留期内资源将停止服务。保留期满仍未续费或充值，存储在云服务中的数据将被删除、云服务资源将被释放。 宽限期是指客户的包年/包月资源到期未续订或按需资源欠费时，华为云提供给客户进行续费与充值的时间，宽限期内客户可正常访问及使用云服务。华为云将会通过邮件、短信等方式向您发送提醒，提醒您续费或充值。 保留期是指宽限期满后客户的包年/包月资源仍未续订或按需资源仍未缴清欠款，将进入保留期。保留期内客户不能访问及使用云服务，但对客户存储在云服务中的数据仍予以保留。华为云将会通过邮件、短信等方式向您发送提醒，提醒您续费或充值。

解释说明 包年/包月 包年/包月是预付费模式，按订单的购买周期计费，这种购买方式相对于按需付费提供更大的折扣，对于长期使用者，推荐该方式。 按需计费 按需计费是后付费模式，按数据库的实际使用时长计费，这种购买方式比较灵活，可以即开即停。以自然小时为单位整点计费，不足一小时按一小时计费。 规格变更 您可以根据业务需求增加现有实例的数量，增加后即刻按照新的实例数量计费。 对于按需计费的实例，变更规格后，依旧按使用时长实时计费。 对于包年/包月的实例，规格差价需补交或被退回。若变更后的新规格价钱高于旧规格，需结合已使用的时间周期，补交差价费用。若变更后的新规格价钱低于旧规格，需结合已使用的时间周期，退回差价费用。费用将退回至用户的账户，可在控制台右上角的“费用”处，查看账户余额。 在集群实例中，您需要注意的是集群节点只能增加，不能减少。DDS Mongos数量可选范围为2~32、Shard数量可选范围为2~32、Config数量默认1个，不需要选择。 磁盘扩容 您可以根据业务需求增加实例的存储空间，扩容后即刻按照新的存储空间计费。为了确保数据的完整和安全，存储空间只允许扩容，不能缩容。 自动续费 目前DDS提供“包年/包月”和“按需计费”两种购买方式，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 “按需计费”方式，即按实际使用时长计费，以自然小时为单位整点计费，不足一小时按一小时计费，自动续费周期为一小时。 “包年/包月”计费方式，您在购买时一次性付费，使用过程中不会再另外扣费，包年计费自动续费方式为一年，包月计费自动续费方式为一个月。 只要您的账户上有足够余额，就不会影响您的使用。 更多计费信息请参见费用中心。

内网连接数据库实例如何设置安全组？ 通过内网连接DDS实例时，设置安全组分为以下两种情况： 弹性云服务器（Elastic Cloud Server，简称ECS）与DDS实例在相同安全组时，默认ECS与DDS实例互通，无需设置安全组规则。 ECS与DDS实例在不同安全组时，为DDS和ECS分别设置安全组规则。 设置DDS安全组规则：为DDS所在安全组配置相应的入方向规则。具体操作，请参考设置安全组规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行。此时，无需对ECS配置安全组规则。 当在ECS所在安全组为默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。

解释说明 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 您也可以根据需要创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 安全组规则 安全组创建后，您可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。每个安全组都自带默认安全组规则，您也可以自定义添加安全组规则。 安全组的限制 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 默认情况下，一个云服务器或扩展网卡最多只能被添加到5个安全组中。 安全组添加实例时，一次最多可添加20个实例。 一个安全组最多允许关联1000个实例。 互通。

解释说明 x86 x86 CPU架构采用复杂指令集（CISC），CISC指令集的每个小指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏 鲲鹏CPU架构采用RISC精简指令集（RISC），RISC是一种执行较少类型计算机指令的微处理器，它能够以更快的速度执行操作，使计算机的结构更加简单合理地提高运行速度，相对于x86 CPU架构具有更加均衡的性能功耗比。 鲲鹏CPU架构的优势是高密度低功耗，可以提供更高的性价比，满足重载业务场景使用。

使用obsutil实现客户端跨区域复制 obsutil支持使用客户端跨区域复制模式进行复制，即通过数据流的方式从源桶直接复制数据到目标桶，且两个桶可以是任意两个OBS服务的桶；借助客户端跨区域复制模式即可实现相同账户下不同区域桶或不同账户间桶内对象的复制；跨账号复制对象具体步骤如下： 使用obsutil config命令配置源桶对应账号的AK、SK及endpoint信息： Windows操作系统 obsutil config -i=src_ak -k=src_sk -e=src_endpoint -crr Linux操作系统 ./obsutil config -i=src_ak -k=src_sk -e=src_endpoint -crr 使用obsutil config命令配置目标桶对应账号的AK、SK及endpoint信息： Windows操作系统 obsutil config -i=dst_ak -k=dst_sk -e=dst_endpoint Linux操作系统 ./obsutil config -i=dst_ak -k=dst_sk -e=dst_endpoint 配置完成后，您可以通过如下方式检查连通性，确认目标桶配置是否无误。 Windows操作系统 obsutil ls -s macOS/Linux操作系统 ./obsutil ls -s 根据命令回显结果，检查配置结果： 如果返回结果中包含“Bucket number :”，表明配置正确。 如果返回结果中包含“Http status [403]”，表明访问密钥配置有误。 如果返回结果中包含“A connection attempt failed”，表明无法连接OBS服务，请检查网络环境是否正常。 如果返回结果中包含“Error: cloud_url [url] is not in well format”，表明访问域名有误，请检查配置文件中域名是否正常。 如果返回结果中包含“Http status [403]”，也可能是没有获取桶列表的权限，需要视具体场景进一步确认根因。 调用cp命令，指定采用跨区域复制模式将源桶对象复制到目标桶： Windows操作系统 obsutil cp obs://src-bucket obs://dst-bucket -f -r -crr Linux操作系统 ./obsutil cp obs://src-bucket obs://dst-bucket -f -r -crr 要使用跨区域复制模式，必须指定-crr参数；如果设置了该参数，必须确保更新了配置文件中客户端跨区域复制的相关配置信息，具体可参考更新配置文件。 复制时源桶对应的配置信息为配置文件中的：akCrr/skCrr/tokenCrr/endpointCrr，目标桶对应的配置信息为配置文件中的：ak/sk/token/endpoint； 对于同一账号下不同区域的桶，也可以按照上述步骤实现同一账号下跨区域复制对象的功能；同时也需要按照步骤一、二设置源桶及目标桶的账号信息。 使用-crr参数时，不会复制源对象的标准元数据信息，包括Cache-Control、Expires、Content-Encoding、Content-Disposition、Content-Type、Content-Language6个标准头域。 使用-crr参数进行跨区域复制时，不会复制源对象的ACL。可使用[-acl=xxx]指定目标对象的ACL，若不指定，则默认继承桶ACL权限。 父主题： 最佳实践