华为云用户手册

不同RDS实例的CPU和内存是否共享 不同规格类型的CPU和内存共用资源的情况不同： 通用型CPU和内存规格： 与同一物理机上的其他通用型规格实例共享CPU资源，通过资源复用换取CPU使用率最大化，性价比较高，适用于对性能稳定性要求较低的应用场景。 独享型CPU和内存规格： 完全独享的CPU和内存，性能长期稳定，不会因为物理机上其它实例的行为而受到影响，适用于对性能稳定性要求较高的应用场景。 父主题： 产品咨询

计费方式 华为云DDoS高防根据您选择业务宽带、保底防护宽带和弹性防护宽带的规格计费。 表1 计费项信息 计费项 计费方式 计费说明 业务带宽 预付费，按月/年付费。 高防机房将清洗后的干净流量，转发给源站所占用的带宽。 说明： 高防机房在华为云外，建议购买的高防业务带宽规格大于或等于源站出口带宽。 保底防护带宽 预付费，按月/年付费。 用于防御攻击的保底带宽。若攻击峰值小于等于客户购买的保底防护带宽，客户无需支付月/年费以外的额外费用。 说明： 不同线路套餐的保底防护带宽的价格不同，具体请参考产品价格详情。 弹性防护带宽 后付费，按天付费。 用于防御攻击的最大可用带宽。计费规则请参考DDoS高防弹性带宽具体怎么计费。 弹性防护宽带的计费详情： 计费标准：取决于当日发生的攻击峰值，即一天内发生多次攻击，仅峰值最高的攻击参与计费。 后付费：根据实际攻击峰值产生弹性防护费用。如果没有攻击，便不会产生弹性防护费用。 规格可调整：DDoS高防服务管理控制台支持调整弹性防护带宽，调整后新的弹性防护带宽可立即生效。 可避免付费：将弹性防护带宽设置为与基础防护带宽一致，则可避免产生弹性防护的后付费费用。

DDoS高防工作原理 DDoS高防服务通过高防IP代理源站IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如下： 客户 访问源站（用户业务）的客户。 源站IP 源站服务器所使用的公网IP，也是被防护的IP地址，应避免对外暴露（泄露）。 高防IP 与源站IP相对应，用于代替源站IP来面向客户提供服务，使源站IP不直接暴露出去。 回源IP 是高防机房代替客户去和源站服务器通信的若干个IP地址（高防机房会将客户的IP随机转换成某个回源IP，并由这个回源IP代替客户IP去和源站服务器通信）。 DDoS高防为用户提供DDoS防护服务，可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等各类网络层、应用层的DDoS攻击。

业务规格 DDoS原生高级防护提供DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生防护-全力防高级版三种服务版本，各版本每个实例支持的业务规格说明如表1所示。 DDoS原生高级防护只能防护相同区域的云资源，不能跨区域（Region）防护。 表1 DDoS原生高级防护业务规格 规格 规格说明 DDoS原生标准版 DDoS原生防护-全力防基础版 DDoS原生防护-全力防高级版 计费模式 - 1个月 支持“3个月”、“6个月”或“1年” 支持“3个月”、“6个月”或“1年” 带宽类型 - 华为云原生网络，多线BGP 华为云原生网络，多线BGP 华为云原生网络，多线BGP 防护能力 - 20G 共享全力防护，不低于20G 共享全力防护，最高可达1T 防护IP数 每个实例支持防护的公网IP个数。 1个 范围为50～500，且防护IP数必须设置为5的倍数 范围为50～500，且防护IP数必须设置为5的倍数 防护次数 公网IP被攻击，实例进行防护的次数。 有关防护次数的统计方式说明，请参见DDoS原生防护标准版的防护次数是如何统计的？。 10次（超过10次后将不再防护） 不限次数 不限次数 IP更换次数 - 5次 防护包中IP每天可以更换一次，每月更换5次 - - 业务带宽 高防机房清洗后回源给源站的业务流量带宽。 默认提供100M业务带宽。 最低100M，最大支持上限20,000M。 最大支持40,000M。

功能特性 DDoS原生高级防护支持以下防护功能： 透明接入 无需修改域名解析、设置源站保护，可以直接对华为云上公网IP资源进行防护。 全力防护 华为云根据当前区域下DDoS本地清洗中心的网络和资源能力，尽可能帮助您防御DDoS攻击。全力防护的防护能力随着华为云网络能力的不断提升而相应提升。 联动防护 开启联动防护后，可自动联动调度DDoS高防对DDoS原生高级防护对象中的云资源进行防护。 IPv4/IPv6双协议防护 支持同时为IPv6和IPv4两种类型的IP提供防护，满足您对IPv6类型业务防护需求。 流量清洗 DDoS原生高级防护检测到IP的入流量超过设置的阈值时，触发流量清洗。 IP黑白名单 通过配置IP黑名单或IP白名单来封禁或者放行访问DDoS原生高级防护的源IP，从而限制访问您业务资源的用户。 协议封禁 根据协议类型一键封禁访问DDoS原生高级防护的源流量。例如，访问DDoS原生高级防护的源流量如果没有UDP（User Datagram Protocol，用户数据报协议）业务，建议封禁UDP协议。

什么是DDoS原生高级防护？ DDoS原生高级防护（Cloud Native Anti-DDoS，CNAD）是华为云推出的针对华为云ECS、ELB、WAF、EIP等云服务直接提升其DDoS防御能力的安全服务。DDoS原生高级防护对华为云上的IP生效，通过简单的配置，DDoS原生高级防护提供的安全能力就可以直接加载到云服务上，提升云服务的安全防护能力，确保云服务上的业务安全、可靠。 DDoS原生防护-全力防高级版只能防护专属EIP。 您可以提交工单联系DDoS防护团队开通专属EIP购买权限。

开发流程 Kafka客户端角色包括Producer和Consumer两个角色，其应用开发流程是相同的。 开发流程中各个阶段的说明如图1和表1所示。 图1 Kafka客户端程序开发流程 表1 Kafka客户端开发的流程说明 阶段 说明 参考文档 准备开发环境 在进行应用开发前，需首先准备开发环境，推荐使用Java语言进行开发，使用IntelliJ IDEA工具。同时完成JDK、Maven等初始配置。 准备开发环境 准备连接集群配置文件 应用程序开发或运行过程中，需通过集群相关配置文件信息连接MRS集群，配置文件通常包括集群组件信息文件以及用于安全认证的用户文件，可从已创建好的MRS集群中获取相关内容。 用于程序调测或运行的节点，需要与MRS集群内节点网络互通，同时配置hosts域名信息。 准备连接集群配置文件 配置并导入样例工程 Kafka提供了不同场景下的样例程序，您可以导入样例工程进行程序学习。 配置并导入样例工程 配置安全认证 如果您使用的是开启了Kerberos认证的MRS集群，需要进行安全认证。 准备安全认证 根据业务场景开发程序 提供了Producer和Consumer相关API的使用样例，包含了API和多线程的使用场景，帮助用户快速熟悉Kafka接口。 将开发好的程序编译运行，用户可在本地Windows开发环境中进行程序调测运行，也可以将程序编译为Jar包后，提交到Linux节点上运行。 开发程序 编译与运行程序 指导用户将开发好的程序编译并提交运行并查看结果。 调测程序 父主题： 概述

开发流程 开发流程中各阶段的说明如图1和表1所示。 图1 MapReduce应用程序开发流程 表1 MapReduce应用开发的流程说明 阶段 说明 参考文档 准备开发环境 在进行应用开发前，需首先准备开发环境，推荐使用Java语言进行开发，使用IntelliJ IDEA工具，同时完成JDK、Maven等初始配置。 准备开发环境 准备连接集群配置文件 应用程序开发或运行过程中，需通过集群相关配置文件信息连接MRS集群，配置文件通常包括集群组件信息文件以及用于安全认证的用户文件，可从已创建好的MRS集群中获取相关内容。 用于程序调测或运行的节点，需要与MRS集群内节点网络互通，同时配置hosts域名信息。 准备连接集群配置文件 配置并导入样例工程 MapReduce提供了不同场景下的多种样例程序，用户可获取样例工程并导入本地开发环境中进行程序学习。 配置并导入样例工程 配置安全认证 如果您使用的是开启了Kerberos认证的MRS集群，需要进行安全认证。 准备安全认证 根据业务场景开发程序 根据实际业务场景开发程序，调用组件接口实现对应功能。 开发程序 编译并运行程序 将开发好的程序编译运行，用户可在本地Windows开发环境中进行程序调测运行，也可以将程序编译为Jar包后，提交到Linux节点上运行。 调测程序 父主题： 概述

在Windows中调测程序 确保本地的hosts文件中配置了远程集群所有主机的主机名和业务IP映射关系。 通过IntelliJ IDEA可直接运行Producer.java，如图1所示： 图1 运行Producer.java运行 运行后弹出控制台窗口，可以看到，Producer正在向默认topic（example-metric1）发送消息，每发送10条，打印一条日志。 图2 Producer运行窗口

开发流程 Kafka客户端角色包括Producer和Consumer两个角色，其应用开发流程是相同的。 开发流程中各个阶段的说明如图1和表1所示。 图1 Kafka客户端程序开发流程 表1 Kafka客户端开发的流程说明 阶段 说明 参考文档 准备开发和运行环境 Kafka的客户端程序当前推荐使用java语言进行开发，可使用IntelliJ IDEA工具开发。 Kafka的运行环境即Kafka客户端，请根据指导完成客户端的安装和配置。 准备开发环境 准备连接集群配置文件 应用程序开发或运行过程中，需通过集群相关配置文件信息连接MRS集群，配置文件通常包括集群组件信息文件以及用于安全认证的用户文件，可从已创建好的MRS集群中获取相关内容。 用于程序调测或运行的节点，需要与MRS集群内节点网络互通，同时配置hosts域名信息。 准备运行环境配置文件 配置并导入样例工程 Kafka提供了不同场景下的样例程序，您可以导入样例工程进行程序学习。 配置并导入样例工程 根据业务场景开发工程 提供了Producer和Consumer相关API的使用样例，包含了API和多线程的使用场景，帮助用户快速熟悉Kafka接口。 开发程序 编译与运行程序 指导用户将开发好的程序编译并提交运行。 调测程序 父主题： 概述

准备开发环境 Kafka开发应用时，需要准备的开发和运行环境如表1所示： 表1 开发环境 准备项 说明 操作系统 开发环境：Windows系统，支持Windows 7以上版本。 运行环境：Windows系统或Linux系统。 如需在本地调测程序，运行环境需要和集群业务平面网络互通。 安装和配置IntelliJ IDEA 开发环境的基本配置。版本要求：JDK使用1.8版本，IntelliJ IDEA使用2019.1或其他兼容版本。 说明： 若使用IBM JDK，请确保IntelliJ IDEA中的JDK配置为IBM JDK。 若使用Oracle JDK，请确保IntelliJ IDEA中的JDK配置为Oracle JDK。 若使用Open JDK，请确保IntelliJ IDEA中的JDK配置为Open JDK。 安装JDK 开发和运行环境的基本配置。版本要求如下： 服务端和客户端仅支持自带的OpenJDK，版本为1.8.0_272，不允许替换。 对于客户应用需引用SDK类的Jar包运行在客户应用进程中的。 X86客户端： Oracle JDK：支持1.8版本 IBM JDK：支持1.8.5.11版本 TaiShan客户端： OpenJDK：支持1.8.0_272版本 说明： 基于安全考虑，服务端只支持TLS V1.2及以上的加密协议。 IBM JDK默认只支持TLS V1.0，若使用IBM JDK，请配置启动参数“com.ibm.jsse2.overrideDefaultTLS”为“true”，设置后可以同时支持TLS V1.0/V1.1/V1.2，详情参见https://www.ibm.com/support/knowledgecenter/zh/SSYKE2_8.0.0/com.ibm.java.security.component.80.doc/security-component/jsse2Docs/matchsslcontext_tls.html#matchsslcontext_tls。 安装Maven 开发环境的基本配置。用于项目管理，贯穿软件开发生命周期。 7-zip 用于解压“*.zip”和“*.rar”文件,支持7-Zip 16.04版本。

检查弹性云服务器端口 确保弹性云服务器端口正常工作，处于LISTEN状态。表5为常见TCP状态。 Linux操作系统云服务器端口通信问题排查 使用netstat -antp命令检查服务的状态，确认端口是否正常监听。 例如：netstat -ntulp |grep 80 图7 查看端口监听状态_linux 如果端口没有被正常监听，请重新开启弹性云服务器端口。 Windows操作系统云服务器端口通信问题排查 使用远程端口检测命令： 打开CMD命令行窗口。 执行netstat -ano | findstr “PID”命令查看进程使用的端口号。 例如：netstat -ano | findstr “80” 图8 查看端口监听状态_windows 如果端口没有被正常监听，请重新开启弹性云服务器端口。 表5 常见TCP状态 TCP状态 说明 对应场景 LISTEN 侦听来自远方的TCP端口的连接请求 正常TCP服务端 ESTABLISHED 代表一个打开的连接 正常TCP连接 TIME-WAIT 等待足够的时间以确保远程TCP接收到连接中断请求的确认 已关闭的TCP连接，一般1分钟后清除。 CLOSE-WAIT 等待从本地用户发来的连接中断请求 应用程序BUG，没有关闭socket。出现在网络中断后。一般是进程死循环或等待其他条件。可以重启对应进程。 FIN-WAIT-2 从远程TCP等待连接中断请求 网络中断过，需要12分钟左右自行恢复。 SYN-SENT 再发送连接请求后等待匹配的连接请求 TCP连接请求失败。一般是服务端CPU占用率过高，处理不及时导致。DDos攻击也会出现此情况。 FIN-WAIT-1 等待远程TCP连接中断请求，或先前的连接中断请求的确认 网络中断过，此状态可能不会自行修复（等15分钟以上确认），如果长期占用端口需要重启OS恢复。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 网络不通排查思路 表1 网络不通排查思路 可能原因 处理措施 路由表配置不正确 请在路由表中添加指向公网NAT网关的默认路由或路由，详细操作请参考检查路由表是否配置指向公网NAT网关网关的默认路由。 弹性云服务器绑定了弹性公网IP 请为弹性云服务器解绑弹性公网IP，详细操作请参考检查弹性云服务器是否绑定了弹性公网IP。 安全组规则未放通 请放通弹性云服务器对应的安全组规则，详细操作请参考检查安全组规则。 网络ACL配置不正确 请配置网络ACL规则放通子网流量，详细操作请参考检查网络ACL是否放通子网流量。 弹性公网IP的带宽超限 请扩大EIP带宽，详细操作请参考检查弹性公网IP的带宽是否超限。 公网NAT网关业务量超过规格上限 请提升公网NAT网关规格，详细操作请参考检查公网NAT网关业务量是否超过规格上限。 公网NAT网关的状态异常 请确保公网NAT网关资源状态为“运行中”，详细操作请参考检查公网NAT网关状态是否异常。 弹性云服务器端口未监听 请重新开启弹性云服务器端口，详细操作请参考检查弹性云服务器端口。

修订记录 发布日期 修订记录 2023-08-28 第七次正式发布。 新增使用IPv6进行主机迁移。 2023-07-27 第六次正式发布。 新增迁移不在兼容性列表的主机。 2022-12-28 第五次正式发布。 新增配置专线迁移。 2022-08-22 第四次正式发布。 更新配置权限。 2022-07-21 第三次正式发布。 更新配置权限。 2022-05-16 第二次正式发布。 新增将主机迁移至企业项目。 2019-02-14 第一次正式发布。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，进入Agent安装目录，如C:\SMS-Agent-Py?\config，按如下所示修改配置文件disk.cfg。 [volmap] D=2 E=2 D=2，E=2说明是将D盘和E盘都迁移到ECS的第2块磁盘，即ECS的数据盘。 双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 迁移任务完成后，目的端ECS会有一个单独系统盘和数据盘。 迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

注意事项 确保源端服务器能够使用IPv6网络。源端为华为云ECS时，镜像需要开启DHCPv6，详情请参见动态获取IPv6地址。 子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。 弹性云服务器ECS仅部分规格支持IPv6网络，目的端需要选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络，请务必选择支持的区域和规格，详见ECS规格清单。 网络配置时，务必选择“自动分配IPv6地址”，绑定共享带宽为可选，根据需求配置。 安全组入方向规则需要放通IPv6端口。 Windows系统需要开放TCP的8899端口、8900端口和22端口。 Linux系统文件级迁移开放22端口，块级迁移开放8900端口、22端口。 以上端口，建议只对源端服务器开放。

操作步骤 登录主机迁移服务管理控制台。 在左侧导航树中，选择“迁移服务器”，进入迁移服务器列表页面。 在迁移服务器列表页面找到已复制完成并持续同步的服务器，在“操作”列，单击“启动目的端”。 或勾选已复制完成并持续同步的服务器，单击服务器名称/ID上方的“启动目的端”。 图1 启动目的端 在弹出的“启动目的端”窗口，单击“确定”。 图2 确定启动 “迁移实时状态”为“已完成”，说明已启动目的端，整个迁移操作已完成。 图3 迁移完成

操作步骤 登录主机迁移服务管理控制台。 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 在迁移服务器列表页面找到待迁移的服务器，在“操作”列，单击“开始”，弹出“开始”窗口，单击“确定”，开始全量复制。 或勾选待迁移的服务器，单击服务器名称/ID上方的“开始”，弹出“开始”窗口，单击“确定”，开始全量复制。 图1 确定复制 在全量复制过程中，系统默认将您的目的端锁定并不可操作，迁移完成后将自动解锁目的端服务器。如您在迁移过程中，需要操作目的端，可解锁目的端，具体操作参见解锁目的端。 迁移过程中，您可单击，查看迁移进度，如图2所示。 图2 查看迁移进度 全量复制完成。 在设置迁移目的端“持续同步”选择“否”时，全量复制完成后系统会自动进入下一步：启动目的端，并且启动目的端无需手动操作，系统会自动启动目的端。 在设置迁移目的端“持续同步”选择“是”时，“迁移实时状态”为“持续同步”，说明全量复制已完成。在“启动目的端”之前，系统会自动把源端新增或修改的磁盘数据持续同步到目的端。“启动目的端”需要手动操作，您可参考启动目的端来启动目的端。

修订记录 发布日期 修订记录 2023-08-29 第九次正式发布。 在设置迁移目的端的基本配置页签，新增“IP版本”特性。 2023-05-24 第八次正式发布。 在设置迁移目的端的基本配置页签，新增“是否开启多进程”特性。 2023-02-25 第七次正式发布。 在设置迁移目的端的基本配置页签，新增“迁移特殊配置项”和“Cgroup资源限制”特性。 2023-01-06 第六次正式发布。 更新设置迁移目的端的基本配置页签，新增“是否检测网络质量”特性。 2022-12-02 第五次正式发布。 更新在源端安装迁移Agent，启动Agent增加输入SMS域名。 2022-11-14 第四次正式发布。 新增同步增量数据章节。 2022-10-13 第三次正式发布。 在设置迁移目的端的基本配置页签新增“迁移后主机状态”特性。 2022-03-14 第二次正式发布。 更新设置迁移目的端章节中的磁盘调整分区。 2021-05-10 第一次正式发布。 新版本上线。

问题现象 使用Linux私有镜像创建/切换服务器后，无法通过重置密码登录云耀云服务器L实例。Linux私有镜像的镜像源来自其他云平台的服务器或从第三放下载，通过此类私有镜像创建的云耀云服务器L实例可能因为未安装一键式密码重置插件而无法重置密码。 如果您知晓您的私有镜像服务器密码，请参考使用Linux私有镜像创建/切换服务器后，无法重置密码怎么办？（已知私有镜像初始密码）安装插件。 如果您遗忘了您的私有镜像服务器密码，请参见本节内容为私有镜像安装一键式密码重置插件，并为云耀云服务器L实例设置密码。 本节操作重置的是root用户的密码，您可以重置完root密码后登录云服务器后再更换密钥或重置非root用户的密码。

前提条件 使用待安装密码插件的私有镜像创建一台Linux操作系统的临时弹性云服务器A。 准备一台Linux操作系统的临时弹性云服务器B，且该临时弹性云服务器与弹性云服务器A位于同一个可用区。 请确保临时弹性服务器A/B和待安装一键式重置密码插件的云耀云服务器L实例均属于同一个区域。 您可以选择符合要求的已有弹性云服务器作为临时，也可以重新购买一台临时弹性云服务器。 重新购买的弹性云服务器在重置密码后，请及时释放，以免继续收费。 弹性云服务器B已经绑定弹性公网IP。

操作步骤 以root用户远程登录云耀云服务器L实例。 执行以下命令，查询是否已安装CloudResetPwdAgent。 ls -lh /Cloud* 图1 查询是否已安装一键式重置密码插件 检查结果是否如图1所示。 是，表示已安装一键式重置密码插件，结束。 否，表示未安装一键式重置密码插件，请继续执行如下操作进行安装。 请参考获取并校验一键式重置密码插件完整性（Linux），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 执行以下命令，解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 unzip -o -d 插件解压目录 CloudResetPwdAgent.zip 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： unzip -o -d /home/linux/test CloudResetPwdAgent.zip 安装一键式重置密码插件。 执行以下命令，进入文件CloudResetPwdAgent.Linux。 cd {插件解压目录}/CloudResetPwdAgent/CloudResetPwdAgent.Linux 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： cd /home/linux/test/CloudResetPwdAgent/CloudResetPwdAgent.Linux 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 执行以下命令，安装插件。 sudo sh setup.sh 如果脚本执行成功打印“cloudResetPwdAgent install successfully.”，且未打印“Failed to start service cloudResetPwdAgent”，表示安装成功。 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。 修改重置密码插件的文件权限。 chmod 700 /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script chmod 700 /CloudrResetPwdAgent/bin/wrapper chmod 600 /CloudrResetPwdAgent/lib/* 完成以上操作后，在控制台重启云耀云服务器L实例，即可对云耀云服务器L实例重置密码。

问题现象 使用Linux私有镜像创建/切换服务器后，无法通过重置密码登录云耀云服务器L实例。Linux私有镜像的镜像源来自其他云平台的服务器或从第三放下载，通过此类私有镜像创建的云耀云服务器L实例可能因为未安装一键式密码重置插件而无法重置密码。 如果您知晓您的私有镜像服务器密码，请参考本节内容安装一键式密码重置插件安装插件。安装插件后，即可重置密码。 如果您遗忘了您的私有镜像服务器密码，请参见使用Linux私有镜像创建/切换服务器后，无法重置密码怎么办？（遗忘私有镜像初始密码）安装一键式密码重置插件。安装插件后，即可重置密码。

如何确认应用镜像启动完毕？ 对于新购买、重装系统或切换操作系统的云耀云服务器L实例应用镜像，第一次重置密码时，请确保应用镜像启动完毕后再重置密码。在应用镜像启动期间，重置密码可能导致应用镜像启动异常。 登录云耀云服务器L实例控制台。 单击云耀云服务器L实例卡片，进入资源页面。 在服务器“概览”页“镜像信息”中，单击“管理”进入管理页面。 安全组入方向规则放开80端口后，才能正常进入管理页面。进入管理页面前，请检查安全组是否放开80端口。具体操作详见配置安全组。 如果管理页面显示正常的引导或登录页面，表示应用镜像已经正常启动，例如WordPress的引导页面如下图。否则请耐心等待，稍后重试。

属性 图表名称：当前折线图组件的名称。 数据范围：设置折线图中需展示的表单数据，通过选择单个表单或多个表单形成数据集。 横轴设置：设置横轴参数。 横轴字段：从数据集中选择横轴展示的字段。 纵轴设置：设置纵轴参数。 统计方式：分为统计记录总数和统计字段数值。 统计记录总数：统计横轴每个值的记录数。 统计字段数值：统计字段数值的汇总方式，包含总和、平均值、最大值和最小值。 纵轴字段：选择需要统计数值的字段。当纵轴选择“统计字段数值”时，需设置“统计字段”属性。 分组设置：用于根据横轴和纵轴展示组内每一类数值。 分组字段：设置需要分组的字段。 例如：如图2所示，横轴表示商品种类，纵轴表示数量，使用时间字段进行分组。每一条折线表示某个时间每一种商品的数量。 图2 折线图分组功能 联动表格：从当前设计页面中选择和折线图实现数据联动的表格。用户单击折线图，表格中会显示对应的数据。

属性 图表名称：当前柱状图组件的名称。 数据范围：设置柱状图中需展示的表单数据，通过选择单个表单或多个表单形成数据集。 横轴设置：设置横轴参数。 横轴字段：从数据集中选择横轴展示的字段。 纵轴设置：设置纵轴参数。 统计方式：分为统计记录总数和统计字段数值。 统计记录总数：统计横轴每个值的记录数。 统计字段数值：统计字段数值的汇总方式，包含总和、平均值、最大值和最小值。 纵轴字段：选择需要统计数值的字段。当纵轴选择“统计字段数值”时，需设置“统计字段”属性。 分组设置：用于根据横轴和纵轴展示组内每一类数值。 分组字段：设置需要分组的字段。 例如：如图2所示，横轴表示商品种类，纵轴表示数量，使用时间字段进行分组。每一种颜色的柱状图表示某个时间每一种商品的数量。 图2 柱状图分组功能 联动表格：从当前设计页面中选择和柱状图实现数据联动的表格。用户单击柱状图，表格中会显示对应的数据。

从Roma同步连接器 登录圆桌，在页面右上角单击“轻应用构建”，进入“轻应用构建”平台。 在页面右上角单击“连接器”，进入连接器页面。 在“我的连接器”页签，单击“创建连接器”，选择“从Roma同步连接器”，如图1所示。 图1 从Roma同步连接器 按照表1填写连接Roma连接器需要的信息，单击“下一步”。 表1 连接Roma连接器所需信息 参数 说明 Access Key id 查询Roma连接器时所需要的访问密钥ID，识别访问用户的身份。与私有访问密钥关联的唯一标识符，访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。获取方法请参见IAM认证开发。 Secret Access Key 查询Roma连接器时所需要的秘密访问密钥。与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。获取方法请参见IAM认证开发。 项目 Roma连接器实例所在节点。获取项目具体操作如下： 登录华为云管理控制台，单击右上角用户名，在下拉列表中单击“我的凭证”，左侧栏选择“API凭证”，在项目列表可以查看具体项目信息。 实例 Roma连接器所在的实例。 图2 填写连接Roma连接器所需信息 选择需同步的Roma连接器及其动作，单击“确定”。Roma连接器及其动作同步成功后，会自动将接口所需要的参数同步到页面中。 如果需要修改连接Roma连接器所需的信息，请单击“上一步”。 当前仅可同步鉴权方式为无鉴权和APP鉴权的API。 最多显示最近更新的20个API，且最多可选择20个API进行同步。 图3 选择Roma连接器及其动作 测试执行动作。 Roma连接器及其动作同步成功后，你可以先测试执行动作，执行动作测试通过后再使用连接器。 双击动作卡片，或将鼠标悬停在动作卡片上单击右上角进入动作编辑页面。 在“执行动作”处单击右侧“测试”，输入请求参数实际值，单击“测试”。 状态显示“成功”，表示执行动作可以正常使用。 状态显示“失败”，表示执行动作异常，无法正常使用。

更多操作 连接器创建完成后，您还可以执行如表2操作。 表2 更多操作 操作 说明 编辑连接器名称和图标 Roma连接器同步成功后，您可以编辑连接器名称和图标，编辑完成后单击右上角“修改”。 连接器名称：默认为Roma连接器名称，支持编辑名称。 连接器图标：支持选择系统图标和本地上传图标，本地上传图标只能上传JPG/PNG文件，且不能超过500KB，建议尺寸为80X80。 设置执行动作 Roma连接器同步成功后，在Roma连接器详情页面，您还可以新增、编辑和删除Roma连接器动作。 新增Roma连接器动作：在“设置动作”处单击“从Roma同步”，输入Access Key id和Secret Access Key即可添加Roma连接器动作。 编辑已同步Roma连接器动作：在“设置动作”处双击动作卡片，或将鼠标悬停在动作卡片上单击右上角即可进入动作编辑页面，编辑完成后，单击右上角“修改”即可将编辑后的内容保存成功。 支持编辑动作名称和动作描述。 支持编辑请求参数中的参数描述，返回参数中的名称和参数描述。 删除已同步Roma连接器动作：将鼠标悬停在动作卡片上，单击右上角即可删除动作，删除动作完成后，单击右上角“修改”保存修改后的连接器。 删除连接器 将鼠标悬停在Roma连接器卡片上，单击右下角即可删除同步的Roma连接器。

安全审计 等保条例：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 云堡垒机支持查看实时会话、查看历史会话及查看查看系统日志的功能。 您可以在系统日志中查看系统登录日志，具体可细分为登录时间、登录用户、来源IP、日志内容、登录方式、登录结果和备注等内容。 图12 系统登录日志 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 可以在系统操作日志中详细查看每个账号对堡垒机做了哪些操作，具体记录到用户、时间、来源IP、模块、日志内容、结果。如图13所示 图13 系统操作日志