网络ip分段

首先分网段，你给个一段IP区间有什么用？网段是由 IP+掩码 才能确定119.115.0.0--119.115.255.255 分配如下地址119.115.136.132,119.115.136.135 // 119.115.136.132-135119.115.141.0,119.115.141.15 //119.115.141.15.0-15119.115.136.88,119.115.136.91 //119.115.136.88-91 你这是公网地址吧？第一个地址段： 132-135 132 是 网络号 135 是 广播号 无法用， 你只能用 133 134 这2个IP用第二个地址段：同上你只能用16-2 = 14个IP 第三个地址段：同上 你只能2个地址段

要想使基于时间的ACL生效需要我配置两方面的命令： 1、定义时间段及时间范围。 2、ACL自身的配置，即将详细的规则添加到ACL中。 3、宣告ACL，将设置好的ACL添加到相应的端口中。 4。在172.16.4.0/24网段中有一台服务器提供FTP服务，IP地址为172.16.4.13。 路由器配置命令： time-range softer 定义时间段名称为softer periodic weekend 00:00 to 23:59 定义具体时间范围，为每周周末（6，日）的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。 access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer 设置ACL，禁止在时间段softer范围内访问172.16.4.13的FTP服务。 access-list 101 permit ip any any 设置ACL，容许其他时间段和其他条件下的正常访问。 int e 1 进入E1端口。 ip access-group 101 out 宣告ACL101。 基于时间的ACL比较适合于时间段的管理，通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了，平时无法访问。 答案来源于网络

深入剖析IPv4和IPv6 深入剖析IP协议，大部分时间就是深入剖析IP头部协议，随着现在的IPv6马上的普及，我们今天就来详细分析一下IPv4和IPv6的头部。 IPv4 1.版本号：占四位，就是IP协议的版本，通信双方的IP协议必须要达到一致，IPv4的版本就是4. 2.首部长度：占四位，因为长度为四比特，所以首部长度的最大值为1111，15，又因为首部长度代表的单位长度为32个字（也就是4个字节），所以首部长度的最小值就是0101，当然，也确实如此，大部分的ip头部中首部字节都是0101.也就是5*4=20个字节，如果是最大值15的话，ip首部的最大值就是60个字节，所以记好了，ipv4首部长度的最大值就是60，当然当中我们又能发现，IPv4的首段长度一定是4字节的整数倍，要是不是怎么办呢？别急，后面的填充字段会自动填充补齐到4字节的整数倍的。 3.区分服务：这个没有什么用处，也没有什么好讲的了，只要自动这玩意占八位，一个字节就可以了。 4.总长度：占16位，这个的意思就是ip数据报中首部和数据的总和的长度，因为占16位，所以很好理解，总长度的最大值就是2的16次方减一，65535，这玩意也对应着还有一个很简单的概念，最大传输单元mtu，意味着一个IP数据报的最大长度就只能装下65535个字节，要是传输的长度超过这个怎么办，很简单，分片。 对于最大传输单元，我们可以调用netstat -in来进行查看：  对于分片我们放在片偏移里面进行详细分析。 5.标识：占16位，标识这玩意很好理解，IP在存储器中维持一个计数器，每产生一个 数据报，计数器就加1,并将此值赋给标识字段。但这个标识并不是平常的序号，因为IP是 无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分 片时，这个标识字段的值就被复制到所有的数据报片的标识字段中，等到重组的时候，相同标识符的值的数据报就会被重新组装成一个数据报。 6.标志：占三位，一般有用的是前两位， 最低位叫做MF，MF=1表示后面还有若干个数据报，MF=0表示这已经是最后一个数据报了。 中间位叫做DF，DF表示不能进行分片，DF=0才可以进行分片操作。 7.片偏移：占13位，片偏移就是，在原来的数据报分片以后，该片在原分组中的相对位置，片偏移中的基本单位是8字节，所以，也就是说，只要是分片，每个分片的长度都是8字节的整数倍，最后一个分片不够八字节的一样是填充。 8.生存时间ttl：占8位，（time to live），表明数据报在网络中的寿命，这个值被设定成跳数，顾名思义，就是这个数据报可以经过多少个路由器的数量，每经过一个路由器，该值就减一，减到为零的时候就被抛弃，显而易见，这个跳数的最大值就是2的8次方减一，255. 9.协议：就是用来指明数据报携带了哪种协议，占8位。 10.首部效验和：占16位，这个字段用来效验数据报首段，下面给出简单的计算方法：  首先在发送端的时候，将效验和全部置为0，然后把数据报首段数据全部进行反码相加，得到的值为效验和，放入首段效验和里面，然后接收端将数据报首段数据和效验和一起全部反码相加，最后若是得到零，则保留，若是不为零，则说明数据报在传输的过程中发生了改变，则丢弃该数据报。 11.IP源地址：占32位，将IP地址看作是32位数值则需要将网络字节顺序转化位主机字节顺序。转化的方法是：将每4个字节首尾互换，将2、3字节互换。 12.目的地址：也占32位，转换方法和来源IP地址一样。 13.到了可变部分IPv4的头部基本上就已经讲完了，增加头部的可变选项实际上就是增加了数据报的功能，可变选项在实际上是很少用到的。 在IP协议中，IP协议是面向非连接的，所谓的非连接就是在数据的传递过程中，不需要检测网络是否连通，所以是不可靠的数据报协议。IP协议主要用于在主机之间的寻址和选择数据包路由。 IPv6 与IPv4相比，IPv6的头部做了如下修改： 1.取消了首部长度，因为IPv6的首部长度是固定40个字节。 2.取消了服务类型，因为流标号和优先级结合起来实现了服务类型的功能。 3.取消了总长度字段，改用为有效载荷长度，有效载荷就是后面的扩展首部加上数据报中的数据。 4.取消了标识，标志和片偏移，因为这些功能都包含在了扩展首部里面。 5.取消了协议字段，改用为下一个首部，功能不变，这样更容易理解。 6.取消了生存时间ttl，改用为跳数限制，功能不变，这样更容易理解，更形象了。 7.取消了首部效验和，这样加快了路由器对数据报的处理速度，在数据链路层中，当我们发现有差错的帧就会抛弃，在运输层中，在udp中，当发现有差错就会抛弃，在tcp中，当发现有差错就会重传，直到传送到目的进程为止。因此在网路层的检测就可以精简掉。 8，取消了选项字段，功能归并在了扩展首部上。

深入剖析IPv4和IPv6 深入剖析IP协议，大部分时间就是深入剖析IP头部协议，随着现在的IPv6马上的普及，我们今天就来详细分析一下IPv4和IPv6的头部。 IPv4 1.版本号：占四位，就是IP协议的版本，通信双方的IP协议必须要达到一致，IPv4的版本就是4. 2.首部长度：占四位，因为长度为四比特，所以首部长度的最大值为1111，15，又因为首部长度代表的单位长度为32个字（也就是4个字节），所以首部长度的最小值就是0101，当然，也确实如此，大部分的ip头部中首部字节都是0101.也就是5*4=20个字节，如果是最大值15的话，ip首部的最大值就是60个字节，所以记好了，ipv4首部长度的最大值就是60，当然当中我们又能发现，IPv4的首段长度一定是4字节的整数倍，要是不是怎么办呢？别急，后面的填充字段会自动填充补齐到4字节的整数倍的。 3.区分服务：这个没有什么用处，也没有什么好讲的了，只要自动这玩意占八位，一个字节就可以了。 4.总长度：占16位，这个的意思就是ip数据报中首部和数据的总和的长度，因为占16位，所以很好理解，总长度的最大值就是2的16次方减一，65535，这玩意也对应着还有一个很简单的概念，最大传输单元mtu，意味着一个IP数据报的最大长度就只能装下65535个字节，要是传输的长度超过这个怎么办，很简单，分片。 对于最大传输单元，我们可以调用netstat -in来进行查看：  对于分片我们放在片偏移里面进行详细分析。 5.标识：占16位，标识这玩意很好理解，IP在存储器中维持一个计数器，每产生一个 数据报，计数器就加1,并将此值赋给标识字段。但这个标识并不是平常的序号，因为IP是 无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分 片时，这个标识字段的值就被复制到所有的数据报片的标识字段中，等到重组的时候，相同标识符的值的数据报就会被重新组装成一个数据报。 6.标志：占三位，一般有用的是前两位， 最低位叫做MF，MF=1表示后面还有若干个数据报，MF=0表示这已经是最后一个数据报了。 中间位叫做DF，DF表示不能进行分片，DF=0才可以进行分片操作。 7.片偏移：占13位，片偏移就是，在原来的数据报分片以后，该片在原分组中的相对位置，片偏移中的基本单位是8字节，所以，也就是说，只要是分片，每个分片的长度都是8字节的整数倍，最后一个分片不够八字节的一样是填充。 8.生存时间ttl：占8位，（time to live），表明数据报在网络中的寿命，这个值被设定成跳数，顾名思义，就是这个数据报可以经过多少个路由器的数量，每经过一个路由器，该值就减一，减到为零的时候就被抛弃，显而易见，这个跳数的最大值就是2的8次方减一，255. 9.协议：就是用来指明数据报携带了哪种协议，占8位。 10.首部效验和：占16位，这个字段用来效验数据报首段，下面给出简单的计算方法：  首先在发送端的时候，将效验和全部置为0，然后把数据报首段数据全部进行反码相加，得到的值为效验和，放入首段效验和里面，然后接收端将数据报首段数据和效验和一起全部反码相加，最后若是得到零，则保留，若是不为零，则说明数据报在传输的过程中发生了改变，则丢弃该数据报。 11.IP源地址：占32位，将IP地址看作是32位数值则需要将网络字节顺序转化位主机字节顺序。转化的方法是：将每4个字节首尾互换，将2、3字节互换。 12.目的地址：也占32位，转换方法和来源IP地址一样。 13.到了可变部分IPv4的头部基本上就已经讲完了，增加头部的可变选项实际上就是增加了数据报的功能，可变选项在实际上是很少用到的。 在IP协议中，IP协议是面向非连接的，所谓的非连接就是在数据的传递过程中，不需要检测网络是否连通，所以是不可靠的数据报协议。IP协议主要用于在主机之间的寻址和选择数据包路由。 IPv6 与IPv4相比，IPv6的头部做了如下修改： 1.取消了首部长度，因为IPv6的首部长度是固定40个字节。 2.取消了服务类型，因为流标号和优先级结合起来实现了服务类型的功能。 3.取消了总长度字段，改用为有效载荷长度，有效载荷就是后面的扩展首部加上数据报中的数据。 4.取消了标识，标志和片偏移，因为这些功能都包含在了扩展首部里面。 5.取消了协议字段，改用为下一个首部，功能不变，这样更容易理解。 6.取消了生存时间ttl，改用为跳数限制，功能不变，这样更容易理解，更形象了。 7.取消了首部效验和，这样加快了路由器对数据报的处理速度，在数据链路层中，当我们发现有差错的帧就会抛弃，在运输层中，在udp中，当发现有差错就会抛弃，在tcp中，当发现有差错就会重传，直到传送到目的进程为止。因此在网路层的检测就可以精简掉。 8，取消了选项字段，功能归并在了扩展首部上。

深入剖析IPv4和IPv6 深入剖析IP协议，大部分时间就是深入剖析IP头部协议，随着现在的IPv6马上的普及，我们今天就来详细分析一下IPv4和IPv6的头部。 IPv4 1.版本号：占四位，就是IP协议的版本，通信双方的IP协议必须要达到一致，IPv4的版本就是4. 2.首部长度：占四位，因为长度为四比特，所以首部长度的最大值为1111，15，又因为首部长度代表的单位长度为32个字（也就是4个字节），所以首部长度的最小值就是0101，当然，也确实如此，大部分的ip头部中首部字节都是0101.也就是5*4=20个字节，如果是最大值15的话，ip首部的最大值就是60个字节，所以记好了，ipv4首部长度的最大值就是60，当然当中我们又能发现，IPv4的首段长度一定是4字节的整数倍，要是不是怎么办呢？别急，后面的填充字段会自动填充补齐到4字节的整数倍的。 3.区分服务：这个没有什么用处，也没有什么好讲的了，只要自动这玩意占八位，一个字节就可以了。 4.总长度：占16位，这个的意思就是ip数据报中首部和数据的总和的长度，因为占16位，所以很好理解，总长度的最大值就是2的16次方减一，65535，这玩意也对应着还有一个很简单的概念，最大传输单元mtu，意味着一个IP数据报的最大长度就只能装下65535个字节，要是传输的长度超过这个怎么办，很简单，分片。 对于最大传输单元，我们可以调用netstat -in来进行查看：  对于分片我们放在片偏移里面进行详细分析。 5.标识：占16位，标识这玩意很好理解，IP在存储器中维持一个计数器，每产生一个 数据报，计数器就加1,并将此值赋给标识字段。但这个标识并不是平常的序号，因为IP是 无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分 片时，这个标识字段的值就被复制到所有的数据报片的标识字段中，等到重组的时候，相同标识符的值的数据报就会被重新组装成一个数据报。 6.标志：占三位，一般有用的是前两位， 最低位叫做MF，MF=1表示后面还有若干个数据报，MF=0表示这已经是最后一个数据报了。 中间位叫做DF，DF表示不能进行分片，DF=0才可以进行分片操作。 7.片偏移：占13位，片偏移就是，在原来的数据报分片以后，该片在原分组中的相对位置，片偏移中的基本单位是8字节，所以，也就是说，只要是分片，每个分片的长度都是8字节的整数倍，最后一个分片不够八字节的一样是填充。 8.生存时间ttl：占8位，（time to live），表明数据报在网络中的寿命，这个值被设定成跳数，顾名思义，就是这个数据报可以经过多少个路由器的数量，每经过一个路由器，该值就减一，减到为零的时候就被抛弃，显而易见，这个跳数的最大值就是2的8次方减一，255. 9.协议：就是用来指明数据报携带了哪种协议，占8位。 10.首部效验和：占16位，这个字段用来效验数据报首段，下面给出简单的计算方法：  首先在发送端的时候，将效验和全部置为0，然后把数据报首段数据全部进行反码相加，得到的值为效验和，放入首段效验和里面，然后接收端将数据报首段数据和效验和一起全部反码相加，最后若是得到零，则保留，若是不为零，则说明数据报在传输的过程中发生了改变，则丢弃该数据报。 11.IP源地址：占32位，将IP地址看作是32位数值则需要将网络字节顺序转化位主机字节顺序。转化的方法是：将每4个字节首尾互换，将2、3字节互换。 12.目的地址：也占32位，转换方法和来源IP地址一样。 13.到了可变部分IPv4的头部基本上就已经讲完了，增加头部的可变选项实际上就是增加了数据报的功能，可变选项在实际上是很少用到的。 在IP协议中，IP协议是面向非连接的，所谓的非连接就是在数据的传递过程中，不需要检测网络是否连通，所以是不可靠的数据报协议。IP协议主要用于在主机之间的寻址和选择数据包路由。 IPv6 与IPv4相比，IPv6的头部做了如下修改： 1.取消了首部长度，因为IPv6的首部长度是固定40个字节。 2.取消了服务类型，因为流标号和优先级结合起来实现了服务类型的功能。 3.取消了总长度字段，改用为有效载荷长度，有效载荷就是后面的扩展首部加上数据报中的数据。 4.取消了标识，标志和片偏移，因为这些功能都包含在了扩展首部里面。 5.取消了协议字段，改用为下一个首部，功能不变，这样更容易理解。 6.取消了生存时间ttl，改用为跳数限制，功能不变，这样更容易理解，更形象了。 7.取消了首部效验和，这样加快了路由器对数据报的处理速度，在数据链路层中，当我们发现有差错的帧就会抛弃，在运输层中，在udp中，当发现有差错就会抛弃，在tcp中，当发现有差错就会重传，直到传送到目的进程为止。因此在网路层的检测就可以精简掉。 8，取消了选项字段，功能归并在了扩展首部上。

看你是什么类型的程序 不同程序 日志存放目录不一样。去你的服务器里下载 找到日志路径 、打开FTP登录软件我用的是FlashFXP登录空间FTP 登录FTP后你会发现根目录下有一个wwwlogs文件夹(有的是weblog注不同的服务器空间生成的日志文件目录名称不一样仅供参考一般文件夹中包含Log字符的就是日志文件夹)。 、打开wwwlogs文件夹后里面有一些以日期格式特征为文件名的.gz后缀结尾的文件这些就是我们需要下载到本地的日志文件 下载到电脑桌面后解压缩打开里面是一个记事本格式的文件打开文件看到的是下图这样的代码我下载的是3月7日的那个文件 、分析代码  上图1是百度蜘蛛的IP地址;  2是蜘蛛来访日期时间(2012年3月6日1时21分22秒) 3月7日的日志文件记录的是从3月6日凌晨开始至3月7日1时11分39秒整个时间段的n多次来访记录); 3是百度蜘蛛baiduspider  4是我网站被访问的网页地址;  5是sogou 搜狗蜘蛛的来访同样也能看到时间和被访网页。          如果是简单的查看您可以在记事本中搜索baiduspider 如果想精确分析可借助一些专用的分析软件。分析下哪些时间段百度蜘蛛来的最频繁那么我们就在这个时间段更新我们的网站内容很容易被百度收录的。         通过分析蜘蛛来访纪录可以了解本站的大体情况而不用再为百度不放出内页或者不收录的问题而苦恼了。        蜘蛛来访正常可以确切的说搜索引擎对你的站很友好的坚持更新自己的网站会有不错的收录的。 注有些共享IP空间可能不支持日志功能对于独立ip虚拟主机则提供每天的日志下载而实在没有可以日志功能的空间可以参考使用蜘蛛爬行插件的一些方法进行分析。  答案来源于网络

背景信息 故障排查步骤如下： 排查路由问题。 排查第3/4层（网络/传输）问题。 排查第2层（数据链路）问题。 排查第1层（物理）问题。 排查路由问题 本地接入设备能ping通云上边界路由器网关VBR的IP，并且已建立了BGP对等会话，如果您的本地服务器依然无法ping通云上VPC的ECS实例，请通过以下步骤排查该问题： 若您使用高速通道-对等连接产品连通云上和云下，请检查高速通道VBR上连的健康检查状态。 若您使用云企业网CEN连通云上和云下，请检查CEN的VBR的健康检查状态。 如果路由模式是BGP，请确保本地网关已通过BGP对您的本地网段进行宣告。 请确保您或您的提供商BGP路由宣告没有超过110条路由条目，超出后路由条目会丢弃，BGP Peer连接仍然可以建立。 请确保您的本地网关路由表中具有指向云上VPC的路由，下一跳为云上VBR的IP。 请确保您的VBR路由表具有指向本地网段的路由，下一跳为专线接口。 请确保您的VBR路由表具有指向云上VPC的路由，下一跳为VPC的实例ID。 请确保您的VPC路由表具有指向本地网段的路由，下一跳为VBR。 请确保您的ECS安全组和网络ACL针对您的本地网络设置了允许入站和出站流量。 如果上述步骤未解决您的路由问题，请提交工单咨询。 排查第3/4层（网络/传输）问题 本地接入设备能够ping通云上边界路由器网关VBR的IP，但本地BGP对等会话无法建立，请通过以下步骤排查该问题： 请确保您的BGP已正确配置本地自治系统编号（ASN）和阿里云的ASN。 请确保已正确配置BGP对等会话两端的对等IP。 请确保已配置您的MD5身份验证密钥，并且与下载的路由器配置文件中的密钥完全匹配。 说明 注意检查是否有多余的空格或字符。 请确保没有限制TCP端口179或临时TCP端口超过1024的防火墙和ACL规则。这些端口对于BGP在对等项之间建立TCP连接是必需的。 检查您的BGP日志中是否有任何错误或警告消息。 如果上述步骤未建立 BGP 对等会话，请提交工单咨询。 排查第2层（数据链路）问题 本地IDC机房接入设备的指示灯正常，但接入设备无法ping通云上边界路由器VBR的IP，请通过以下步骤排查该问题： 请检查是否已正确配置您的互联 IP地址，确保互联IP地址在同一个网段，并且位于正确的VLAN 中。 请确保在VLAN子接口而不是物理接口（例如，是GigabitEthernet0/0.123而不是GigabitEthernet0/0）中配置了互联IP地址。 请验证路由器是否具有来自您的地址解析协议 （ARP）表中云上VBR节点的MAC地址条目。 请确保云上VBR和本地IDC接入设备之间的任何设备都已针对您的802.1Q VLAN标签启用了VLAN中继。 请清除您或您的提供商的 ARP 表缓存。 如果上述步骤未建立ARP或您仍无法对云上VBR执行ping 操作，请提交工单咨询。 排查第1层（物理）问题 本地专线接入设备的指示灯不亮，请使用以下步骤排查该问题： 检查本地IDC的CPE接入设备是否已打开，端口是否已激活。 请向您的专线供应商确认专线是否已经完成端到端的接入，并要求专线供应商为您提供专线施工完成证明和端到端的网络连通性测试证明。 请检查专线两端的光模块是否正常。 请检查光模块参数支持的公里数是否一致，如果两侧不一致，端口指示灯不会亮起。 检查光模块参数支持的带宽规格是否一致，如果两侧不一致，端口指示灯不会亮起。 光纤接入时，您必须使用适用于1GB以太网的1000Base-LX、适用于10GB以太网的10GBase-LR、适用于40GB以太网的40GBase-LR或者适用于100GB以太网的100GBase-LR的单模光模块与阿里云的接入设备对接，同时两端的光模块参数需要一致。 检查本地CPE是否已禁用自动协商功能并且已手动配置端口速度和全双工模式。 市场上大部分的网络设备，例如Juneper，设置了自动协商，请手动禁用该功能。 联系线路供应商完成专线分段检测。 自主联系线路供应商或本地IDC机房供应商，进行本地IDC的ODF到本地接入设备之间的楼内线缆测试，若需要环路测试，请您配合供应商在本地IDC进行光环打环。 自主联系线路供应商，进行本地IDC到专线运营商接入设备链路的测试，若需要环路测试，请您配合运营商在本地IDC进行光环打环。 线路供应商联系运营商完成运用上的内部网络链路测试。 自主联系线路供应商，进行阿里接入点所在机房从ODF到阿里接入设备之间的楼内线缆测试。 阿里侧尾纤线缆的测试，请提交工单。 便于您对专线分段管理的理解，传统专线互联的网络拓扑如下图所示，实际拓扑请咨询运营商。

通过白名单分组设置白名单 登录Redis管理控制台。 在顶部菜单栏的左上角，选择实例所属的地域。 在实例列表页，单击目标实例ID。 在左侧导航栏，单击白名单设置。 找到目标白名单分组，单击修改。 说明 您也可以单击添加白名单分组创建一个新的分组。分组名称长度为2~32个字符，由小写字母、数字或下划线组成，需以小写字母开头，以小写字母或数字结尾。 在弹出的对话框中，根据要执行的操作，选择下述操作步骤： 手动修改白名单 手动填写IP地址或IP地址段。 图 1. 手动修改白名单 手动修改白名单 说明 IP地址以英文逗号分隔，不可重复，最多1000个。支持格式为10.23.12.24（具体IP地址）、10.23.12.24/24（CIDR模式，即无类域间路由，/24表示地址中前缀的长度，范围为1~32）。 0.0.0.0/0代表允许所有IP地址访问该实例，存在高安全风险。 加载ECS实例的内网IP地址为白名单 单击加载ECS私网IP。 根据业务需求选中对应的IP地址。 图 2. 加载ECS内网IP地址 加载ECS内网IP地址 说明 为便于定位目标IP地址，您可以将鼠标指针悬浮在对应的IP地址上，系统将为您展示该IP地址所属ECS实例的ID和名称。 清除白名单分组 当某个白名单分组中的所有IP地址均需要移除且需要保留该分组时，您可以单击清除白名单分组来完成该操作。 单击确定。 方法二：通过ECS安全组设置白名单 将ECS安全组添加至Redis实例后，该安全组中的所有ECS实例既可以通过内网访问Redis实例，也可以通过外网访问Redis实例（Redis实例需已申请公网连接地址，具体操作，请参见如何通过公网连接Redis实例）。 说明 通过本方法设置白名单时，要求ECS实例和Redis实例的网络类型相同（如果是专有网络，则要求属于同一个VPC ID）。 登录Redis管理控制台。 在顶部菜单栏的左上角，选择实例所属的地域。 在实例列表页，单击目标实例ID。 在左侧导航栏，单击白名单设置。 单击添加安全组。 在弹出的对话框中，选择需要添加的安全组。 图 3. 添加安全组 添加安全组 说明 为便于定位目标安全组，您可以将鼠标指针悬浮在安全组ID上，可显示安全组的名称和描述信息；将鼠标指针悬浮在VPC图标上，可显示VPC ID信息。 每个Redis实例最多可设置10个安全组。 单击确定。 可选：当您需要移除所有安全组时，您可以单击清除安全组来实现。

OSI的七层模型 【1】物理层：主要定义物理设备标准，如网线的接口类型、光纤的接口类型、各种传输介质的传输速率等。它的主要作用是传输比特流（就是由1、0转化为电流强弱来进行传输,到达目的地后在转化为1、0，也就是我们常说的数模转换与模数转换），这一层的数据叫做比特。 【2】数据链路层：定义了如何让格式化数据以进行传输，以及如何让控制对物理介质的访问，这一层通常还提供错误检测和纠正，以确保数据的可靠传输。 【3】网络层：在位于不同地理位置的网络中的两个主机系统之间提供连接和路径选择，Internet的发展使得从世界各站点访问信息的用户数大大增加，而网络层正是管理这种连接的层。 【4】传输层：定义了一些传输数据的协议和端口号（WWW端口80等），如：TCP（传输控制协议，传输效率低，可靠性强，用于传输可靠性要求高，数据量大的数据），UDP（用户数据报协议，与TCP特性恰恰相反，用于传输可靠性要求不高，数据量小的数据，如QQ聊天数据就是通过这种方式传输的）， 主要是将从下层接收的数据进行分段和传输，到达目的地址后再进行重组，常常把这一层数据叫做段。 【5】会话层：通过传输层（端口号：传输端口与接收端口）建立数据传输的通路，主要在你的系统之间发起会话或者接受会话请求（设备之间需要互相认识可以是IP也可以是MAC或者是主机名）。 【6】表示层：可确保一个系统的应用层所发送的信息可以被另一个系统的应用层读取。例如，PC程序与另一台计算机进行通信，其中一台计算机使用扩展二一十进制交换码（EBCDIC），而另一台则使用美国信息交换标准码（ASCII）来表示相同的字符。如有必要，表示层会通过使用一种通格式来实现多种数据格式之间的转换。 【7】应用层： 是最靠近用户的OSI层，这一层为用户的应用程序（例如电子邮件、文件传输和终端仿真）提供网络服务。 下面的是TCP/IP四层模型: 1.应用层、传输层、网络层、链路层 应用层：负责向用户提供应用程序，比如HTTP、FTP、Telnet、DNS、SMTP等。 传输层：负责对报文进行分组和重组，并以TCP或UDP协议格式封装报文。 网络层：负责路由以及把分组报文发送给目标网络或主机。 链路层：负责封装和解封装IP报文，发送和接受ARP/RARP报文等 下面的是两者之间的对比:

1、 观察百度爬虫爬行网站的时间点的访问日志，观察web服务日志是否有问题。 2、议用户使用阿里云监控，监控系统负载，网络带宽使用率。观察系统负载以及网络带宽是否正常，如果偏高建议用户升级ECS服务器配置。 3、建议用户使用阿里云监控，监测网站的可用性的。http://www.aliyun.com/product/jiankong/ 4、使用百度站长工具了解网站的连通率：      A. 利用抓取异常、抓取频次工具观察抓取情况          注：每个工具页面的右侧下方都有使用说明可以了解，如下：                                  B. 利用抓取诊断工具观察抓取情况               为了保证网站对百度蜘蛛的稳定访问性能，日常需要养成定期抓取诊断的习惯，另外抓取诊断不是说光看看状态是否“抓取成功”就行了。有下面几步进行： A. 下拉选择分”pc”、 ”移动”进行抓取，”pc”意味着一般意义上的电脑端访问诊断，”移动”则是如手机、平板等移动设备端访问诊断。 B. 网站主要的引流页，如首页、详情页、内容页、专题页等都要进行抓取，另外可以重点几个时间段（比如网站高峰时间段）每天定期进行测试。 C. 抓取失败了，点击”抓取失败”查看提示信息，如果自己没有技术能力解决问题，可以跟空间商进行沟通，然后向工具提交报错。      D. 抓取成功后，也不能说就万事大吉了，还要点击”抓取成功”进去注意：提交网址、抓取网址、抓取UA、网站ip、下载时长、头部信息（服务器返回状态码、gzip等相关信息）、网页源码是否都正常。      特别说明：有很多站长就光注意抓取成功，却不知网站ip可能并非自己的实际ip，还可能每隔一段时间都变。当发现ip有问题，及时跟网络商沟通，并在网站ip旁点击“报错”按钮，百度会更新网站ip，但是切记不要ip变化频繁。此外当然还可能出现实际抓取网址、头部信息、网页源码等都不是自己本来设置的。 5. 测试抓取成功并能打开，这里主要注意DNS和空间的稳定性。     A. DNS的问题                 --------下方为百度官方资料-------------                当心dns服务器不稳导致站点被屏                近期百度站长平台收到多个反馈，称网站从百度网页搜索消失，site查询发现连通率为0。                 经追查发现这些网站都使用godaddy的DNS服务器 *.DOMAINCONTROL.COM，此系列DNS服务器存在稳定性问题，Baiduspider经常解析不到ip，在Baiduspider看来，网站是死站点。                此前我们也发现过多起小dns服务商屏蔽Baiduspider解析请求或者国外dns服务器不稳定的案例。                建议站长尽可能使用国内大型服务商提供的DNS服务，如dnspod等，以保证站点的稳定解析。                --------上方为百度官方资料-------------     B. 空间的稳定性                 空间的资源不足，内存、并发连接等等，当访问量很少的时候，用户察觉不出，当用户量高流量大时候出现网站打开异常会导致时，建议用户使用云监控监控网站打开延迟以及ECS服务器性能监控，了解服务器的性能异常及时调整服务器状态。             云监控配置方法，请查看链接：http://docs.aliyun.com/?spm=5176.775973980.2.3.ZU5cWe#/cms/User_Manual/Quick_Start&Site_Monitor 6. 建议用户与百度收录取得联系，询问下这边连通率的问题的。

详细解答可以参考官方帮助文档 阿里云任何版本的企业邮箱服务禁止发送营销邮件，营销邮件标准及相关规范，参见中国互联网协会反垃圾信息中心的管理规范。中国互联网协会电子邮件营销规范(V1.2)来源：反垃圾信息中心一、总则1.1 为规范电子邮件形式的市场营销行为，统一电子邮件营销[注1]的基本要求，为接收和发送营销内容的电子邮件提供依据，保护电子邮件用户的合法权益，根据我国相关法律法规的规定，制定本规范。1.2 本规范适用于电子邮件营销活动的开展和评价。1.3 本规范基于《互联网电子邮件服务管理办法》（中华人民共和国信息产业部令第38号）制定，从事电子邮件营销除应执行本规范外，还应符合《互联网电子邮件服务管理办法》及其他国家现行的有关标准的规定。二、基本规定2.1 中国互联网协会对电子邮件营销服务提供者[注2]实行登记备案管理。电子邮件营销服务提供者应当在开展电子邮件营销活动前将电子邮件发送服务器所使用的IP地址[注11]及相关信息向中国互联网协会反垃圾信息中心登记备案，并遵守以下规定：2.1.1需报备的 IP 地址及相关信息（1）备案单位基本情况，包括备案单位名称、备案单位地址、备案单位性质、备案单位组织机构代码、备案单位营业执照注册号、备案单位经营范围、备案单位注册资金、备案单位网站域名、备案单位法人代表姓名、备案单位联系人姓名、联系人电话、 联系人电子邮件、联系人即时通信方式等。（2）备案单位电子邮件发送服务器IP地址分配使用信息，包括备案单位用于发送电子邮件的IP地址数量、IP地址、IP地址段、IP地址所属单位名称、IP地址对应域名、IP地址对应发送营销电子邮件[注3]性质/类型（事务性邮件和商业性邮件等）；（3）备案单位可自愿报备每次电子邮件营销活动的信息，包括本次营销活动使用IP地址、域名、发件人邮箱地址、电子邮件HELO[注19]信息、收件人数量、发送周期、平均发送速率[注10]、单IP最大发送速率、发送营销电子邮件性质/类型（事务性邮件和商业性邮件等）、营销电子邮件的原信/样信等。（4）其他需要备案的信息。2.1.2 电子邮件营销服务提供者拟变更电子邮件营销服务信息的，应当提前办理变更登记手续。2.1.3 电子邮件营销服务提供者提交的备案信息必须完整、真实、有效且符合我国相关法律法规规定。2.1.4 中国互联网协会反垃圾信息中心负责审核电子邮件营销服务提供者提交的备案资料，对符合要求的备案单位发放电子邮件营销备案资质证书。2.2 电子邮件营销服务提供者应当确保所有与电子邮件服务有关的域名和IP地址注册信息正确、完整和及时更新，并遵守以下规定：2.2.1 发送电子邮件的服务器IP地址必须使用静态IP[注12]地址，并已采取IP反向解析[注13]措施。2.2.2 发送电子邮件的邮箱域名建议与发送电子邮件的服务器IP反向解析的域名信息一致，并已采取SPF解析[注14]。2.2.3 建议使用DKIM[注15]、DMARC[注16]等反垃圾邮件技术，提高与电子邮件发送相关的域名和IP的信誉。2.2.4 关注知名的RBL[注17]组织列表，如果发现与电子邮件发送相关的域名、IP或邮箱地址出现在知名的RBL[注17]组织列表上，应及时采取措施进行申诉和解封。2.2.5 建议发送事务性邮件和商业性邮件的服务器分配不同的IP地址和发送邮箱地址。2.2.6 具有特殊功能的账户，如postmaster@账户（邮件管理员账户）或abuse@账户（投诉账户），必须保证其有效，并由专人负责管理维护。2.3 电子邮件营销服务提供者应当建立可靠有效的订阅[注5]及退订[注9]机制，并遵守以下规定：2.3.1未经电子邮件接收者明确许可，不得向其发送营销电子邮件。获取接收者许可的过程和内容应清楚、明确，且不违背我国的相关法律规定。电子邮件营销服务提供者应公布获取接收者许可的策略，保存接收者同意接收营销邮件的许可记录，以便在需要时向接收者提供相关信息。2.3.2营销电子邮件必须提供给接收者至少包含一种退订的途径和具体操作方法，退订信息应醒目、清晰，退订操作方法应简单，有效。2.3.3确保退订请求可以正常发送并能够被及时自动响应处理。不得强制要求用户提交退订原因或设置退订条件，退订请求发出后应在3个工作日内生效。2.4 电子邮件营销服务提供者应规范的使用和维护其营销用户[注4]的电子邮件地址列表[注6]，并遵守以下规定：2.4.1 电子邮件营销服务提供者对营销用户的个人信息和电子邮件地址负有保密的义务。未经用户同意，不得泄露用户的个人信息和电子邮件地址，法律、行政法规另有规定的除外。2.4.2 电子邮件营销服务提供者应制定安全合理的隐私策略[注8]。营销用户的个人信息资料和电子邮件地址的使用应与收集目的一致，未经用户同意，不得用于收集目的以外的其它用途。2.4.3 必须保证每个电子邮件地址的取得都经过了用户的许可。尽量确保每个电子邮件地址都是真实有效的。2.4.4 应合理处理邮件投递过程中接收电子邮件的服务器返回的错误代码[注7]。对于返回代码表示不存在的电子邮件地址，应及时从发送列表中删除；对于连续出现投递错误的电子邮件地址，建议及时调整投递策略，减少可能导致错误发生的情况。2.5 电子邮件营销服务提供者应使用规范的电子邮件格式与内容，并遵守以下规定：2.5.1 营销电子邮件的内容不得违反我国相关法律法规规定。2.5.2 营销电子邮件格式应符合国际通用规范标准（参见RFC 2822）。邮件中如果包含HTML格式，应遵循由万维网联盟（W3C）公布的w3.org[注18]设计规范。2.5.3 营销电子邮件应标明邮件发送方的身份和真实的可返回的邮件发送地址。邮件的标题和信体要能准确的反映出邮件的内容、真实来源和通信目的。邮件正文应包含发送方的名称、地址、联系电话和电子邮件地址等详细信息。2.5.4 营销电子邮件的主题与内容必须相匹配。邮件内容应与营销用户的订阅内容一致。2.5.5 应采取有效的措施保护未成年人，尽可能的识别未成年的邮件订阅者。营销电子邮件含有不适合未成年人阅读的内容时，应提前核实接收者的年龄，确保接收者达到合法接收和阅读的年龄。发送给未成年人的营销邮件应征得其监护人的许可，内容符合此年龄段人群的知识水准、阅历和心里成熟程度。2.6 电子邮件营销服务提供者应与邮件接收方建立良好的沟通渠道，并参考以下规定：2.6.1 中国互联网协会反垃圾信息中心负责协助电子邮件营销服务提供者与邮件接收组织之间的沟通协调，在邮件传送过程中出现问题时，及时有效的进行沟通，确保尽快使问题得到解决。2.6.2 中国互联网协会反垃圾信息中心应协助电子邮件营销服务提供者与邮件接收组织之间建立信息反馈机制，改进电子邮件营销服务提供者的服务水平。2.6.3 中国互联网协会反垃圾信息中心应对电子邮件营销活动进行监督，对电子邮件营销服务提供者的信誉进行评价。2.6.4 电子邮件营销服务提供者应建立公平、高效、安全、易于使用的邮件投诉系统，在营销电子邮件中为营销用户提供便捷的投诉方式，受理营销用户对营销电子邮件的投诉。对被投诉的营销电子邮件，应立即开展调查，采取合理有效的防范或处理措施，并将有关情况和调查结果及时向各省通信管理局等国家有关机关或者12321网络不良和垃圾信息举报受理中心报告。2.6.5 电子邮件营销服务提供者应按照邮件接收方的要求限制营销电子邮件的发送速率。邮件接收方应将未投递成功的电子邮件服务器错误信息反馈邮件发送方。对信誉良好，行为规范的电子邮件营销服务提供者，邮件接收方可适当放宽营销电子邮件的发送速率。2.7 电子邮件营销服务提供者应积极配合各省通信管理局等国家有关机关和12321网络不良和垃圾信息举报受理中心开展调查工作。2.8 中国互联网协会拥有本规范的解释权和修改权。2.9 本规范自发布之日起施行。 附注:1. 电子邮件营销：指通过电子邮件开展的营销活动。2. 电子邮件营销服务提供者：也是营销电子邮件的发送方，指提供电子邮件营销服务的单位或个人，包括直接开展电子邮件营销活动的单位或个人以及接受委托开展电子邮件营销活动的单位或个人。3. 营销电子邮件：指具有营销功能的电子邮件。根据电子邮件的发送目的，分为事务性邮件和商业性邮件两种类型。3.1 事务性邮件，是指由收件人触发并已允许发件人发送的，以推动、完成或确认相关联流程为主要目的而发送的电子邮件。常见分类包括：（1）账号相关：账号激活、信息验证、账号绑定、密码修改、密码取回等。（2）交易信息：订单通知、付款通知、退款通知、物流通知、交易投诉等。（3）账单信息：对帐单、流水账单、催款通知、账户变更等。（4）其他类型。3.2 商业性邮件，是指任何以推销或者推广某种商品或服务（包括商业性网站的内容）为主要目的而发送的电子邮件。常见分类包括：（1）期刊资讯：更新通知、各类期刊、各类报表等。（2）产品促销：新品推广、季末促销、优惠套餐、折扣优惠、积分优惠等。（3）成员营销：好友邀请、成员关怀、主题活动、用户调研等。（4）其他类型。3.3 事务性邮件如果附带商业性内容，则视为商业性邮件。4. 营销用户：指电子邮件营销活动的对象，即接收营销电子邮件的电子邮箱使用者。5. 订阅：指营销用户预先订制，同意接收订制的营销电子邮件的行为。6. 邮件列表：指已经订阅了某一类营销电子邮件的用户电子邮箱地址列表，该列表是此类营销电子邮件的发送对象。7. 错误代码/硬退回/软退回：指在邮件的SMTP发送过程中，收信方服务器每处理完一条SMTP命令，都会向发信方服务器回传一个返回信息，用于表明对这条SMTP命令的执行结果。如返回信息以4XX（如450等）开头，指接收方临时性拒收该邮件，称软退回；如返回信息以5XX（如550等）开头，指接收方永久性拒收该邮件，称硬退回。以上列举的两类代码，习惯称为错误代码。8. 隐私策略：指电子邮件营销活动所收集的营销用户信息类型，收集方式和收集技术，以及信息的提供对象和使用用途。隐私策略中还应包括用户信息保护的安全措施、责任和实施过程。9. 退订：指营销用户取消订阅营销电子邮件的行为。10. 发送速率：指单位时间内的发送电子邮件的总数量。 常见的时间间隔单位包括：分钟、15分钟、小时、天、周、月等。11. IP地址/IP段IP地址是被用于定位互联网上的电脑一个唯一编号，地址的格式如159.226.1.1。多个IP地址的组合，即称为IP段。邮件发送过程中会?谰軮P地址，来确定邮件发送者和邮件接收者的位置。12. 静态IP地址指长期固定分配给一台计算机使用的IP地址，一般是由网络运营商分配。13. IP反向解析IP反向解析是一项常用的反垃圾邮件技术。常用的DNS服务器里面有两个区域，即“正向查找区域”和“反向查找区域”。正向查找区域是指域名解析，反向查找区域即是IP反向解析，简称PTR记录，其作用是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录需要由提供IP地址的网络运营商（ISP）进行配置。14. SPFSPF（Sender Policy Framework）是一种通过IP地址来认证电子邮件发件人身份的技术，是一项非常高效的反垃圾邮件技术。它通过在DNS中发布一条TXT类型的记录，用于登记某个域名所有拥有的合法的发送邮件的所有IP地址。15. DKIMDKIM（DomainKeys Identified Mail）是一种防诈骗邮件的反垃圾邮件技术。DKIM要求邮件发送方在电子邮件的信头插入DKIM-Signature及电子签名信息，而邮件接收方则通过DNS查询得到其公钥然后进行合法性验证。16. DMARCDMARC（Domain-based Message Authentication, Reporting and Conformance）是一种防诈骗邮件的反垃圾邮件技术。DMARC结合SPF和DKIM两项技术，通过检查电子邮件信头的发件人的合法性，将诈骗邮件识别出来。17. RBLRBL（Real-time Blackhole List），即实时黑名单列表，是一些由国际知名的反垃圾邮件组织所提供的恶意发送垃圾邮件的发件人邮箱地址，IP地址，URL地址等黑名单列表的服务。若已被RBL收录，需到相应RBL官方网站上去核实并申请移除。常见的知名RBL组织，如中国互联网协会反垃圾信息中心、spamhaus，Maps，sorbs，uribl，surbl等。18. w3.org规范由万维网联盟(W3C)共同开发与公布的各种web设计规范。当邮件正文以网页的形式组织时，应当参考这些规范。19．HELO电子邮件头中邮件发送者用来标识自己的身份的命令字段。 附录:电子邮件营销常用指标1. 发送量发送的营销电子邮件数量2. 到达量发送的营销电子邮件数量-退回的营销电子邮件数量3. 到达率到达接收方邮箱的营销电子邮件数量/发送的营销电子邮件数量×100%4. 退信率退回的营销电子邮件数量/发送的营销电子邮件数量×100%5. 硬退信率硬退回的营销电子邮件数量/发送的营销电子邮件数量×100%6. 软退信率软退回的营销电子邮件数量/发送的营销电子邮件数量×100%7. 打开率打开营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复打开邮件的情况。8. 点击率点击了营销电子邮件内容中链接的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复点击的情况。9. 点击打开率点击了营销电子邮件内容中链接的接收方数量/打开营销电子邮件的接收方数量×100%，不计算重复点击和重复打开的情况。10. 退订率退订营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%11. 投诉率被投诉的营销电子邮件数量/到达接收方邮箱的营销电子邮件数量×100%12. 信誉度邮件接收方或者第三方机构对营销电子邮件服务信誉和质量的评定结果 参考中华人民共和国信息产业部令第38号 互联网电子邮件服务管理办法中国互联网协会 电子邮件服务指南（V1.1）中国互联网协会 中国互联网协会互联网公共电子邮件服务规范YD-T 1310-2004 互联网广告电子邮件格式要求YD-T 1311-2004 防范互联网垃圾电子邮件技术要求

详细解答可以参考官方帮助文档 阿里云任何版本的企业邮箱服务禁止发送营销邮件，营销邮件标准及相关规范，参见中国互联网协会反垃圾信息中心的管理规范。中国互联网协会电子邮件营销规范(V1.2)来源：反垃圾信息中心一、总则1.1 为规范电子邮件形式的市场营销行为，统一电子邮件营销[注1]的基本要求，为接收和发送营销内容的电子邮件提供依据，保护电子邮件用户的合法权益，根据我国相关法律法规的规定，制定本规范。1.2 本规范适用于电子邮件营销活动的开展和评价。1.3 本规范基于《互联网电子邮件服务管理办法》（中华人民共和国信息产业部令第38号）制定，从事电子邮件营销除应执行本规范外，还应符合《互联网电子邮件服务管理办法》及其他国家现行的有关标准的规定。二、基本规定2.1 中国互联网协会对电子邮件营销服务提供者[注2]实行登记备案管理。电子邮件营销服务提供者应当在开展电子邮件营销活动前将电子邮件发送服务器所使用的IP地址[注11]及相关信息向中国互联网协会反垃圾信息中心登记备案，并遵守以下规定：2.1.1需报备的 IP 地址及相关信息（1）备案单位基本情况，包括备案单位名称、备案单位地址、备案单位性质、备案单位组织机构代码、备案单位营业执照注册号、备案单位经营范围、备案单位注册资金、备案单位网站域名、备案单位法人代表姓名、备案单位联系人姓名、联系人电话、 联系人电子邮件、联系人即时通信方式等。（2）备案单位电子邮件发送服务器IP地址分配使用信息，包括备案单位用于发送电子邮件的IP地址数量、IP地址、IP地址段、IP地址所属单位名称、IP地址对应域名、IP地址对应发送营销电子邮件[注3]性质/类型（事务性邮件和商业性邮件等）；（3）备案单位可自愿报备每次电子邮件营销活动的信息，包括本次营销活动使用IP地址、域名、发件人邮箱地址、电子邮件HELO[注19]信息、收件人数量、发送周期、平均发送速率[注10]、单IP最大发送速率、发送营销电子邮件性质/类型（事务性邮件和商业性邮件等）、营销电子邮件的原信/样信等。（4）其他需要备案的信息。2.1.2 电子邮件营销服务提供者拟变更电子邮件营销服务信息的，应当提前办理变更登记手续。2.1.3 电子邮件营销服务提供者提交的备案信息必须完整、真实、有效且符合我国相关法律法规规定。2.1.4 中国互联网协会反垃圾信息中心负责审核电子邮件营销服务提供者提交的备案资料，对符合要求的备案单位发放电子邮件营销备案资质证书。2.2 电子邮件营销服务提供者应当确保所有与电子邮件服务有关的域名和IP地址注册信息正确、完整和及时更新，并遵守以下规定：2.2.1 发送电子邮件的服务器IP地址必须使用静态IP[注12]地址，并已采取IP反向解析[注13]措施。2.2.2 发送电子邮件的邮箱域名建议与发送电子邮件的服务器IP反向解析的域名信息一致，并已采取SPF解析[注14]。2.2.3 建议使用DKIM[注15]、DMARC[注16]等反垃圾邮件技术，提高与电子邮件发送相关的域名和IP的信誉。2.2.4 关注知名的RBL[注17]组织列表，如果发现与电子邮件发送相关的域名、IP或邮箱地址出现在知名的RBL[注17]组织列表上，应及时采取措施进行申诉和解封。2.2.5 建议发送事务性邮件和商业性邮件的服务器分配不同的IP地址和发送邮箱地址。2.2.6 具有特殊功能的账户，如postmaster@账户（邮件管理员账户）或abuse@账户（投诉账户），必须保证其有效，并由专人负责管理维护。2.3 电子邮件营销服务提供者应当建立可靠有效的订阅[注5]及退订[注9]机制，并遵守以下规定：2.3.1未经电子邮件接收者明确许可，不得向其发送营销电子邮件。获取接收者许可的过程和内容应清楚、明确，且不违背我国的相关法律规定。电子邮件营销服务提供者应公布获取接收者许可的策略，保存接收者同意接收营销邮件的许可记录，以便在需要时向接收者提供相关信息。2.3.2营销电子邮件必须提供给接收者至少包含一种退订的途径和具体操作方法，退订信息应醒目、清晰，退订操作方法应简单，有效。2.3.3确保退订请求可以正常发送并能够被及时自动响应处理。不得强制要求用户提交退订原因或设置退订条件，退订请求发出后应在3个工作日内生效。2.4 电子邮件营销服务提供者应规范的使用和维护其营销用户[注4]的电子邮件地址列表[注6]，并遵守以下规定：2.4.1 电子邮件营销服务提供者对营销用户的个人信息和电子邮件地址负有保密的义务。未经用户同意，不得泄露用户的个人信息和电子邮件地址，法律、行政法规另有规定的除外。2.4.2 电子邮件营销服务提供者应制定安全合理的隐私策略[注8]。营销用户的个人信息资料和电子邮件地址的使用应与收集目的一致，未经用户同意，不得用于收集目的以外的其它用途。2.4.3 必须保证每个电子邮件地址的取得都经过了用户的许可。尽量确保每个电子邮件地址都是真实有效的。2.4.4 应合理处理邮件投递过程中接收电子邮件的服务器返回的错误代码[注7]。对于返回代码表示不存在的电子邮件地址，应及时从发送列表中删除；对于连续出现投递错误的电子邮件地址，建议及时调整投递策略，减少可能导致错误发生的情况。2.5 电子邮件营销服务提供者应使用规范的电子邮件格式与内容，并遵守以下规定：2.5.1 营销电子邮件的内容不得违反我国相关法律法规规定。2.5.2 营销电子邮件格式应符合国际通用规范标准（参见RFC 2822）。邮件中如果包含HTML格式，应遵循由万维网联盟（W3C）公布的w3.org[注18]设计规范。2.5.3 营销电子邮件应标明邮件发送方的身份和真实的可返回的邮件发送地址。邮件的标题和信体要能准确的反映出邮件的内容、真实来源和通信目的。邮件正文应包含发送方的名称、地址、联系电话和电子邮件地址等详细信息。2.5.4 营销电子邮件的主题与内容必须相匹配。邮件内容应与营销用户的订阅内容一致。2.5.5 应采取有效的措施保护未成年人，尽可能的识别未成年的邮件订阅者。营销电子邮件含有不适合未成年人阅读的内容时，应提前核实接收者的年龄，确保接收者达到合法接收和阅读的年龄。发送给未成年人的营销邮件应征得其监护人的许可，内容符合此年龄段人群的知识水准、阅历和心里成熟程度。2.6 电子邮件营销服务提供者应与邮件接收方建立良好的沟通渠道，并参考以下规定：2.6.1 中国互联网协会反垃圾信息中心负责协助电子邮件营销服务提供者与邮件接收组织之间的沟通协调，在邮件传送过程中出现问题时，及时有效的进行沟通，确保尽快使问题得到解决。2.6.2 中国互联网协会反垃圾信息中心应协助电子邮件营销服务提供者与邮件接收组织之间建立信息反馈机制，改进电子邮件营销服务提供者的服务水平。2.6.3 中国互联网协会反垃圾信息中心应对电子邮件营销活动进行监督，对电子邮件营销服务提供者的信誉进行评价。2.6.4 电子邮件营销服务提供者应建立公平、高效、安全、易于使用的邮件投诉系统，在营销电子邮件中为营销用户提供便捷的投诉方式，受理营销用户对营销电子邮件的投诉。对被投诉的营销电子邮件，应立即开展调查，采取合理有效的防范或处理措施，并将有关情况和调查结果及时向各省通信管理局等国家有关机关或者12321网络不良和垃圾信息举报受理中心报告。2.6.5 电子邮件营销服务提供者应按照邮件接收方的要求限制营销电子邮件的发送速率。邮件接收方应将未投递成功的电子邮件服务器错误信息反馈邮件发送方。对信誉良好，行为规范的电子邮件营销服务提供者，邮件接收方可适当放宽营销电子邮件的发送速率。2.7 电子邮件营销服务提供者应积极配合各省通信管理局等国家有关机关和12321网络不良和垃圾信息举报受理中心开展调查工作。2.8 中国互联网协会拥有本规范的解释权和修改权。2.9 本规范自发布之日起施行。 附注:1. 电子邮件营销：指通过电子邮件开展的营销活动。2. 电子邮件营销服务提供者：也是营销电子邮件的发送方，指提供电子邮件营销服务的单位或个人，包括直接开展电子邮件营销活动的单位或个人以及接受委托开展电子邮件营销活动的单位或个人。3. 营销电子邮件：指具有营销功能的电子邮件。根据电子邮件的发送目的，分为事务性邮件和商业性邮件两种类型。3.1 事务性邮件，是指由收件人触发并已允许发件人发送的，以推动、完成或确认相关联流程为主要目的而发送的电子邮件。常见分类包括：（1）账号相关：账号激活、信息验证、账号绑定、密码修改、密码取回等。（2）交易信息：订单通知、付款通知、退款通知、物流通知、交易投诉等。（3）账单信息：对帐单、流水账单、催款通知、账户变更等。（4）其他类型。3.2 商业性邮件，是指任何以推销或者推广某种商品或服务（包括商业性网站的内容）为主要目的而发送的电子邮件。常见分类包括：（1）期刊资讯：更新通知、各类期刊、各类报表等。（2）产品促销：新品推广、季末促销、优惠套餐、折扣优惠、积分优惠等。（3）成员营销：好友邀请、成员关怀、主题活动、用户调研等。（4）其他类型。3.3 事务性邮件如果附带商业性内容，则视为商业性邮件。4. 营销用户：指电子邮件营销活动的对象，即接收营销电子邮件的电子邮箱使用者。5. 订阅：指营销用户预先订制，同意接收订制的营销电子邮件的行为。6. 邮件列表：指已经订阅了某一类营销电子邮件的用户电子邮箱地址列表，该列表是此类营销电子邮件的发送对象。7. 错误代码/硬退回/软退回：指在邮件的SMTP发送过程中，收信方服务器每处理完一条SMTP命令，都会向发信方服务器回传一个返回信息，用于表明对这条SMTP命令的执行结果。如返回信息以4XX（如450等）开头，指接收方临时性拒收该邮件，称软退回；如返回信息以5XX（如550等）开头，指接收方永久性拒收该邮件，称硬退回。以上列举的两类代码，习惯称为错误代码。8. 隐私策略：指电子邮件营销活动所收集的营销用户信息类型，收集方式和收集技术，以及信息的提供对象和使用用途。隐私策略中还应包括用户信息保护的安全措施、责任和实施过程。9. 退订：指营销用户取消订阅营销电子邮件的行为。10. 发送速率：指单位时间内的发送电子邮件的总数量。 常见的时间间隔单位包括：分钟、15分钟、小时、天、周、月等。11. IP地址/IP段IP地址是被用于定位互联网上的电脑一个唯一编号，地址的格式如159.226.1.1。多个IP地址的组合，即称为IP段。邮件发送过程中会?谰軮P地址，来确定邮件发送者和邮件接收者的位置。12. 静态IP地址指长期固定分配给一台计算机使用的IP地址，一般是由网络运营商分配。13. IP反向解析IP反向解析是一项常用的反垃圾邮件技术。常用的DNS服务器里面有两个区域，即“正向查找区域”和“反向查找区域”。正向查找区域是指域名解析，反向查找区域即是IP反向解析，简称PTR记录，其作用是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录需要由提供IP地址的网络运营商（ISP）进行配置。14. SPFSPF（Sender Policy Framework）是一种通过IP地址来认证电子邮件发件人身份的技术，是一项非常高效的反垃圾邮件技术。它通过在DNS中发布一条TXT类型的记录，用于登记某个域名所有拥有的合法的发送邮件的所有IP地址。15. DKIMDKIM（DomainKeys Identified Mail）是一种防诈骗邮件的反垃圾邮件技术。DKIM要求邮件发送方在电子邮件的信头插入DKIM-Signature及电子签名信息，而邮件接收方则通过DNS查询得到其公钥然后进行合法性验证。16. DMARCDMARC（Domain-based Message Authentication, Reporting and Conformance）是一种防诈骗邮件的反垃圾邮件技术。DMARC结合SPF和DKIM两项技术，通过检查电子邮件信头的发件人的合法性，将诈骗邮件识别出来。17. RBLRBL（Real-time Blackhole List），即实时黑名单列表，是一些由国际知名的反垃圾邮件组织所提供的恶意发送垃圾邮件的发件人邮箱地址，IP地址，URL地址等黑名单列表的服务。若已被RBL收录，需到相应RBL官方网站上去核实并申请移除。常见的知名RBL组织，如中国互联网协会反垃圾信息中心、spamhaus，Maps，sorbs，uribl，surbl等。18. w3.org规范由万维网联盟(W3C)共同开发与公布的各种web设计规范。当邮件正文以网页的形式组织时，应当参考这些规范。19．HELO电子邮件头中邮件发送者用来标识自己的身份的命令字段。 附录:电子邮件营销常用指标1. 发送量发送的营销电子邮件数量2. 到达量发送的营销电子邮件数量-退回的营销电子邮件数量3. 到达率到达接收方邮箱的营销电子邮件数量/发送的营销电子邮件数量×100%4. 退信率退回的营销电子邮件数量/发送的营销电子邮件数量×100%5. 硬退信率硬退回的营销电子邮件数量/发送的营销电子邮件数量×100%6. 软退信率软退回的营销电子邮件数量/发送的营销电子邮件数量×100%7. 打开率打开营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复打开邮件的情况。8. 点击率点击了营销电子邮件内容中链接的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复点击的情况。9. 点击打开率点击了营销电子邮件内容中链接的接收方数量/打开营销电子邮件的接收方数量×100%，不计算重复点击和重复打开的情况。10. 退订率退订营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%11. 投诉率被投诉的营销电子邮件数量/到达接收方邮箱的营销电子邮件数量×100%12. 信誉度邮件接收方或者第三方机构对营销电子邮件服务信誉和质量的评定结果 参考中华人民共和国信息产业部令第38号 互联网电子邮件服务管理办法中国互联网协会 电子邮件服务指南（V1.1）中国互联网协会 中国互联网协会互联网公共电子邮件服务规范YD-T 1310-2004 互联网广告电子邮件格式要求YD-T 1311-2004 防范互联网垃圾电子邮件技术要求

详细解答可以参考官方帮助文档 阿里云任何版本的企业邮箱服务禁止发送营销邮件，营销邮件标准及相关规范，参见中国互联网协会反垃圾信息中心的管理规范。中国互联网协会电子邮件营销规范(V1.2)来源：反垃圾信息中心一、总则1.1 为规范电子邮件形式的市场营销行为，统一电子邮件营销[注1]的基本要求，为接收和发送营销内容的电子邮件提供依据，保护电子邮件用户的合法权益，根据我国相关法律法规的规定，制定本规范。1.2 本规范适用于电子邮件营销活动的开展和评价。1.3 本规范基于《互联网电子邮件服务管理办法》（中华人民共和国信息产业部令第38号）制定，从事电子邮件营销除应执行本规范外，还应符合《互联网电子邮件服务管理办法》及其他国家现行的有关标准的规定。二、基本规定2.1 中国互联网协会对电子邮件营销服务提供者[注2]实行登记备案管理。电子邮件营销服务提供者应当在开展电子邮件营销活动前将电子邮件发送服务器所使用的IP地址[注11]及相关信息向中国互联网协会反垃圾信息中心登记备案，并遵守以下规定：2.1.1需报备的 IP 地址及相关信息（1）备案单位基本情况，包括备案单位名称、备案单位地址、备案单位性质、备案单位组织机构代码、备案单位营业执照注册号、备案单位经营范围、备案单位注册资金、备案单位网站域名、备案单位法人代表姓名、备案单位联系人姓名、联系人电话、 联系人电子邮件、联系人即时通信方式等。（2）备案单位电子邮件发送服务器IP地址分配使用信息，包括备案单位用于发送电子邮件的IP地址数量、IP地址、IP地址段、IP地址所属单位名称、IP地址对应域名、IP地址对应发送营销电子邮件[注3]性质/类型（事务性邮件和商业性邮件等）；（3）备案单位可自愿报备每次电子邮件营销活动的信息，包括本次营销活动使用IP地址、域名、发件人邮箱地址、电子邮件HELO[注19]信息、收件人数量、发送周期、平均发送速率[注10]、单IP最大发送速率、发送营销电子邮件性质/类型（事务性邮件和商业性邮件等）、营销电子邮件的原信/样信等。（4）其他需要备案的信息。2.1.2 电子邮件营销服务提供者拟变更电子邮件营销服务信息的，应当提前办理变更登记手续。2.1.3 电子邮件营销服务提供者提交的备案信息必须完整、真实、有效且符合我国相关法律法规规定。2.1.4 中国互联网协会反垃圾信息中心负责审核电子邮件营销服务提供者提交的备案资料，对符合要求的备案单位发放电子邮件营销备案资质证书。2.2 电子邮件营销服务提供者应当确保所有与电子邮件服务有关的域名和IP地址注册信息正确、完整和及时更新，并遵守以下规定：2.2.1 发送电子邮件的服务器IP地址必须使用静态IP[注12]地址，并已采取IP反向解析[注13]措施。2.2.2 发送电子邮件的邮箱域名建议与发送电子邮件的服务器IP反向解析的域名信息一致，并已采取SPF解析[注14]。2.2.3 建议使用DKIM[注15]、DMARC[注16]等反垃圾邮件技术，提高与电子邮件发送相关的域名和IP的信誉。2.2.4 关注知名的RBL[注17]组织列表，如果发现与电子邮件发送相关的域名、IP或邮箱地址出现在知名的RBL[注17]组织列表上，应及时采取措施进行申诉和解封。2.2.5 建议发送事务性邮件和商业性邮件的服务器分配不同的IP地址和发送邮箱地址。2.2.6 具有特殊功能的账户，如postmaster@账户（邮件管理员账户）或abuse@账户（投诉账户），必须保证其有效，并由专人负责管理维护。2.3 电子邮件营销服务提供者应当建立可靠有效的订阅[注5]及退订[注9]机制，并遵守以下规定：2.3.1未经电子邮件接收者明确许可，不得向其发送营销电子邮件。获取接收者许可的过程和内容应清楚、明确，且不违背我国的相关法律规定。电子邮件营销服务提供者应公布获取接收者许可的策略，保存接收者同意接收营销邮件的许可记录，以便在需要时向接收者提供相关信息。2.3.2营销电子邮件必须提供给接收者至少包含一种退订的途径和具体操作方法，退订信息应醒目、清晰，退订操作方法应简单，有效。2.3.3确保退订请求可以正常发送并能够被及时自动响应处理。不得强制要求用户提交退订原因或设置退订条件，退订请求发出后应在3个工作日内生效。2.4 电子邮件营销服务提供者应规范的使用和维护其营销用户[注4]的电子邮件地址列表[注6]，并遵守以下规定：2.4.1 电子邮件营销服务提供者对营销用户的个人信息和电子邮件地址负有保密的义务。未经用户同意，不得泄露用户的个人信息和电子邮件地址，法律、行政法规另有规定的除外。2.4.2 电子邮件营销服务提供者应制定安全合理的隐私策略[注8]。营销用户的个人信息资料和电子邮件地址的使用应与收集目的一致，未经用户同意，不得用于收集目的以外的其它用途。2.4.3 必须保证每个电子邮件地址的取得都经过了用户的许可。尽量确保每个电子邮件地址都是真实有效的。2.4.4 应合理处理邮件投递过程中接收电子邮件的服务器返回的错误代码[注7]。对于返回代码表示不存在的电子邮件地址，应及时从发送列表中删除；对于连续出现投递错误的电子邮件地址，建议及时调整投递策略，减少可能导致错误发生的情况。2.5 电子邮件营销服务提供者应使用规范的电子邮件格式与内容，并遵守以下规定：2.5.1 营销电子邮件的内容不得违反我国相关法律法规规定。2.5.2 营销电子邮件格式应符合国际通用规范标准（参见RFC 2822）。邮件中如果包含HTML格式，应遵循由万维网联盟（W3C）公布的w3.org[注18]设计规范。2.5.3 营销电子邮件应标明邮件发送方的身份和真实的可返回的邮件发送地址。邮件的标题和信体要能准确的反映出邮件的内容、真实来源和通信目的。邮件正文应包含发送方的名称、地址、联系电话和电子邮件地址等详细信息。2.5.4 营销电子邮件的主题与内容必须相匹配。邮件内容应与营销用户的订阅内容一致。2.5.5 应采取有效的措施保护未成年人，尽可能的识别未成年的邮件订阅者。营销电子邮件含有不适合未成年人阅读的内容时，应提前核实接收者的年龄，确保接收者达到合法接收和阅读的年龄。发送给未成年人的营销邮件应征得其监护人的许可，内容符合此年龄段人群的知识水准、阅历和心里成熟程度。2.6 电子邮件营销服务提供者应与邮件接收方建立良好的沟通渠道，并参考以下规定：2.6.1 中国互联网协会反垃圾信息中心负责协助电子邮件营销服务提供者与邮件接收组织之间的沟通协调，在邮件传送过程中出现问题时，及时有效的进行沟通，确保尽快使问题得到解决。2.6.2 中国互联网协会反垃圾信息中心应协助电子邮件营销服务提供者与邮件接收组织之间建立信息反馈机制，改进电子邮件营销服务提供者的服务水平。2.6.3 中国互联网协会反垃圾信息中心应对电子邮件营销活动进行监督，对电子邮件营销服务提供者的信誉进行评价。2.6.4 电子邮件营销服务提供者应建立公平、高效、安全、易于使用的邮件投诉系统，在营销电子邮件中为营销用户提供便捷的投诉方式，受理营销用户对营销电子邮件的投诉。对被投诉的营销电子邮件，应立即开展调查，采取合理有效的防范或处理措施，并将有关情况和调查结果及时向各省通信管理局等国家有关机关或者12321网络不良和垃圾信息举报受理中心报告。2.6.5 电子邮件营销服务提供者应按照邮件接收方的要求限制营销电子邮件的发送速率。邮件接收方应将未投递成功的电子邮件服务器错误信息反馈邮件发送方。对信誉良好，行为规范的电子邮件营销服务提供者，邮件接收方可适当放宽营销电子邮件的发送速率。2.7 电子邮件营销服务提供者应积极配合各省通信管理局等国家有关机关和12321网络不良和垃圾信息举报受理中心开展调查工作。2.8 中国互联网协会拥有本规范的解释权和修改权。2.9 本规范自发布之日起施行。 附注:1. 电子邮件营销：指通过电子邮件开展的营销活动。2. 电子邮件营销服务提供者：也是营销电子邮件的发送方，指提供电子邮件营销服务的单位或个人，包括直接开展电子邮件营销活动的单位或个人以及接受委托开展电子邮件营销活动的单位或个人。3. 营销电子邮件：指具有营销功能的电子邮件。根据电子邮件的发送目的，分为事务性邮件和商业性邮件两种类型。3.1 事务性邮件，是指由收件人触发并已允许发件人发送的，以推动、完成或确认相关联流程为主要目的而发送的电子邮件。常见分类包括：（1）账号相关：账号激活、信息验证、账号绑定、密码修改、密码取回等。（2）交易信息：订单通知、付款通知、退款通知、物流通知、交易投诉等。（3）账单信息：对帐单、流水账单、催款通知、账户变更等。（4）其他类型。3.2 商业性邮件，是指任何以推销或者推广某种商品或服务（包括商业性网站的内容）为主要目的而发送的电子邮件。常见分类包括：（1）期刊资讯：更新通知、各类期刊、各类报表等。（2）产品促销：新品推广、季末促销、优惠套餐、折扣优惠、积分优惠等。（3）成员营销：好友邀请、成员关怀、主题活动、用户调研等。（4）其他类型。3.3 事务性邮件如果附带商业性内容，则视为商业性邮件。4. 营销用户：指电子邮件营销活动的对象，即接收营销电子邮件的电子邮箱使用者。5. 订阅：指营销用户预先订制，同意接收订制的营销电子邮件的行为。6. 邮件列表：指已经订阅了某一类营销电子邮件的用户电子邮箱地址列表，该列表是此类营销电子邮件的发送对象。7. 错误代码/硬退回/软退回：指在邮件的SMTP发送过程中，收信方服务器每处理完一条SMTP命令，都会向发信方服务器回传一个返回信息，用于表明对这条SMTP命令的执行结果。如返回信息以4XX（如450等）开头，指接收方临时性拒收该邮件，称软退回；如返回信息以5XX（如550等）开头，指接收方永久性拒收该邮件，称硬退回。以上列举的两类代码，习惯称为错误代码。8. 隐私策略：指电子邮件营销活动所收集的营销用户信息类型，收集方式和收集技术，以及信息的提供对象和使用用途。隐私策略中还应包括用户信息保护的安全措施、责任和实施过程。9. 退订：指营销用户取消订阅营销电子邮件的行为。10. 发送速率：指单位时间内的发送电子邮件的总数量。 常见的时间间隔单位包括：分钟、15分钟、小时、天、周、月等。11. IP地址/IP段IP地址是被用于定位互联网上的电脑一个唯一编号，地址的格式如159.226.1.1。多个IP地址的组合，即称为IP段。邮件发送过程中会?谰軮P地址，来确定邮件发送者和邮件接收者的位置。12. 静态IP地址指长期固定分配给一台计算机使用的IP地址，一般是由网络运营商分配。13. IP反向解析IP反向解析是一项常用的反垃圾邮件技术。常用的DNS服务器里面有两个区域，即“正向查找区域”和“反向查找区域”。正向查找区域是指域名解析，反向查找区域即是IP反向解析，简称PTR记录，其作用是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录需要由提供IP地址的网络运营商（ISP）进行配置。14. SPFSPF（Sender Policy Framework）是一种通过IP地址来认证电子邮件发件人身份的技术，是一项非常高效的反垃圾邮件技术。它通过在DNS中发布一条TXT类型的记录，用于登记某个域名所有拥有的合法的发送邮件的所有IP地址。15. DKIMDKIM（DomainKeys Identified Mail）是一种防诈骗邮件的反垃圾邮件技术。DKIM要求邮件发送方在电子邮件的信头插入DKIM-Signature及电子签名信息，而邮件接收方则通过DNS查询得到其公钥然后进行合法性验证。16. DMARCDMARC（Domain-based Message Authentication, Reporting and Conformance）是一种防诈骗邮件的反垃圾邮件技术。DMARC结合SPF和DKIM两项技术，通过检查电子邮件信头的发件人的合法性，将诈骗邮件识别出来。17. RBLRBL（Real-time Blackhole List），即实时黑名单列表，是一些由国际知名的反垃圾邮件组织所提供的恶意发送垃圾邮件的发件人邮箱地址，IP地址，URL地址等黑名单列表的服务。若已被RBL收录，需到相应RBL官方网站上去核实并申请移除。常见的知名RBL组织，如中国互联网协会反垃圾信息中心、spamhaus，Maps，sorbs，uribl，surbl等。18. w3.org规范由万维网联盟(W3C)共同开发与公布的各种web设计规范。当邮件正文以网页的形式组织时，应当参考这些规范。19．HELO电子邮件头中邮件发送者用来标识自己的身份的命令字段。 附录:电子邮件营销常用指标1. 发送量发送的营销电子邮件数量2. 到达量发送的营销电子邮件数量-退回的营销电子邮件数量3. 到达率到达接收方邮箱的营销电子邮件数量/发送的营销电子邮件数量×100%4. 退信率退回的营销电子邮件数量/发送的营销电子邮件数量×100%5. 硬退信率硬退回的营销电子邮件数量/发送的营销电子邮件数量×100%6. 软退信率软退回的营销电子邮件数量/发送的营销电子邮件数量×100%7. 打开率打开营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复打开邮件的情况。8. 点击率点击了营销电子邮件内容中链接的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复点击的情况。9. 点击打开率点击了营销电子邮件内容中链接的接收方数量/打开营销电子邮件的接收方数量×100%，不计算重复点击和重复打开的情况。10. 退订率退订营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%11. 投诉率被投诉的营销电子邮件数量/到达接收方邮箱的营销电子邮件数量×100%12. 信誉度邮件接收方或者第三方机构对营销电子邮件服务信誉和质量的评定结果 参考中华人民共和国信息产业部令第38号 互联网电子邮件服务管理办法中国互联网协会 电子邮件服务指南（V1.1）中国互联网协会 中国互联网协会互联网公共电子邮件服务规范YD-T 1310-2004 互联网广告电子邮件格式要求YD-T 1311-2004 防范互联网垃圾电子邮件技术要求

详细解答可以参考官方帮助文档 阿里云任何版本的企业邮箱服务禁止发送营销邮件，营销邮件标准及相关规范，参见中国互联网协会反垃圾信息中心的管理规范。中国互联网协会电子邮件营销规范(V1.2)来源：反垃圾信息中心一、总则1.1 为规范电子邮件形式的市场营销行为，统一电子邮件营销[注1]的基本要求，为接收和发送营销内容的电子邮件提供依据，保护电子邮件用户的合法权益，根据我国相关法律法规的规定，制定本规范。1.2 本规范适用于电子邮件营销活动的开展和评价。1.3 本规范基于《互联网电子邮件服务管理办法》（中华人民共和国信息产业部令第38号）制定，从事电子邮件营销除应执行本规范外，还应符合《互联网电子邮件服务管理办法》及其他国家现行的有关标准的规定。二、基本规定2.1 中国互联网协会对电子邮件营销服务提供者[注2]实行登记备案管理。电子邮件营销服务提供者应当在开展电子邮件营销活动前将电子邮件发送服务器所使用的IP地址[注11]及相关信息向中国互联网协会反垃圾信息中心登记备案，并遵守以下规定：2.1.1需报备的 IP 地址及相关信息（1）备案单位基本情况，包括备案单位名称、备案单位地址、备案单位性质、备案单位组织机构代码、备案单位营业执照注册号、备案单位经营范围、备案单位注册资金、备案单位网站域名、备案单位法人代表姓名、备案单位联系人姓名、联系人电话、 联系人电子邮件、联系人即时通信方式等。（2）备案单位电子邮件发送服务器IP地址分配使用信息，包括备案单位用于发送电子邮件的IP地址数量、IP地址、IP地址段、IP地址所属单位名称、IP地址对应域名、IP地址对应发送营销电子邮件[注3]性质/类型（事务性邮件和商业性邮件等）；（3）备案单位可自愿报备每次电子邮件营销活动的信息，包括本次营销活动使用IP地址、域名、发件人邮箱地址、电子邮件HELO[注19]信息、收件人数量、发送周期、平均发送速率[注10]、单IP最大发送速率、发送营销电子邮件性质/类型（事务性邮件和商业性邮件等）、营销电子邮件的原信/样信等。（4）其他需要备案的信息。2.1.2 电子邮件营销服务提供者拟变更电子邮件营销服务信息的，应当提前办理变更登记手续。2.1.3 电子邮件营销服务提供者提交的备案信息必须完整、真实、有效且符合我国相关法律法规规定。2.1.4 中国互联网协会反垃圾信息中心负责审核电子邮件营销服务提供者提交的备案资料，对符合要求的备案单位发放电子邮件营销备案资质证书。2.2 电子邮件营销服务提供者应当确保所有与电子邮件服务有关的域名和IP地址注册信息正确、完整和及时更新，并遵守以下规定：2.2.1 发送电子邮件的服务器IP地址必须使用静态IP[注12]地址，并已采取IP反向解析[注13]措施。2.2.2 发送电子邮件的邮箱域名建议与发送电子邮件的服务器IP反向解析的域名信息一致，并已采取SPF解析[注14]。2.2.3 建议使用DKIM[注15]、DMARC[注16]等反垃圾邮件技术，提高与电子邮件发送相关的域名和IP的信誉。2.2.4 关注知名的RBL[注17]组织列表，如果发现与电子邮件发送相关的域名、IP或邮箱地址出现在知名的RBL[注17]组织列表上，应及时采取措施进行申诉和解封。2.2.5 建议发送事务性邮件和商业性邮件的服务器分配不同的IP地址和发送邮箱地址。2.2.6 具有特殊功能的账户，如postmaster@账户（邮件管理员账户）或abuse@账户（投诉账户），必须保证其有效，并由专人负责管理维护。2.3 电子邮件营销服务提供者应当建立可靠有效的订阅[注5]及退订[注9]机制，并遵守以下规定：2.3.1未经电子邮件接收者明确许可，不得向其发送营销电子邮件。获取接收者许可的过程和内容应清楚、明确，且不违背我国的相关法律规定。电子邮件营销服务提供者应公布获取接收者许可的策略，保存接收者同意接收营销邮件的许可记录，以便在需要时向接收者提供相关信息。2.3.2营销电子邮件必须提供给接收者至少包含一种退订的途径和具体操作方法，退订信息应醒目、清晰，退订操作方法应简单，有效。2.3.3确保退订请求可以正常发送并能够被及时自动响应处理。不得强制要求用户提交退订原因或设置退订条件，退订请求发出后应在3个工作日内生效。2.4 电子邮件营销服务提供者应规范的使用和维护其营销用户[注4]的电子邮件地址列表[注6]，并遵守以下规定：2.4.1 电子邮件营销服务提供者对营销用户的个人信息和电子邮件地址负有保密的义务。未经用户同意，不得泄露用户的个人信息和电子邮件地址，法律、行政法规另有规定的除外。2.4.2 电子邮件营销服务提供者应制定安全合理的隐私策略[注8]。营销用户的个人信息资料和电子邮件地址的使用应与收集目的一致，未经用户同意，不得用于收集目的以外的其它用途。2.4.3 必须保证每个电子邮件地址的取得都经过了用户的许可。尽量确保每个电子邮件地址都是真实有效的。2.4.4 应合理处理邮件投递过程中接收电子邮件的服务器返回的错误代码[注7]。对于返回代码表示不存在的电子邮件地址，应及时从发送列表中删除；对于连续出现投递错误的电子邮件地址，建议及时调整投递策略，减少可能导致错误发生的情况。2.5 电子邮件营销服务提供者应使用规范的电子邮件格式与内容，并遵守以下规定：2.5.1 营销电子邮件的内容不得违反我国相关法律法规规定。2.5.2 营销电子邮件格式应符合国际通用规范标准（参见RFC 2822）。邮件中如果包含HTML格式，应遵循由万维网联盟（W3C）公布的w3.org[注18]设计规范。2.5.3 营销电子邮件应标明邮件发送方的身份和真实的可返回的邮件发送地址。邮件的标题和信体要能准确的反映出邮件的内容、真实来源和通信目的。邮件正文应包含发送方的名称、地址、联系电话和电子邮件地址等详细信息。2.5.4 营销电子邮件的主题与内容必须相匹配。邮件内容应与营销用户的订阅内容一致。2.5.5 应采取有效的措施保护未成年人，尽可能的识别未成年的邮件订阅者。营销电子邮件含有不适合未成年人阅读的内容时，应提前核实接收者的年龄，确保接收者达到合法接收和阅读的年龄。发送给未成年人的营销邮件应征得其监护人的许可，内容符合此年龄段人群的知识水准、阅历和心里成熟程度。2.6 电子邮件营销服务提供者应与邮件接收方建立良好的沟通渠道，并参考以下规定：2.6.1 中国互联网协会反垃圾信息中心负责协助电子邮件营销服务提供者与邮件接收组织之间的沟通协调，在邮件传送过程中出现问题时，及时有效的进行沟通，确保尽快使问题得到解决。2.6.2 中国互联网协会反垃圾信息中心应协助电子邮件营销服务提供者与邮件接收组织之间建立信息反馈机制，改进电子邮件营销服务提供者的服务水平。2.6.3 中国互联网协会反垃圾信息中心应对电子邮件营销活动进行监督，对电子邮件营销服务提供者的信誉进行评价。2.6.4 电子邮件营销服务提供者应建立公平、高效、安全、易于使用的邮件投诉系统，在营销电子邮件中为营销用户提供便捷的投诉方式，受理营销用户对营销电子邮件的投诉。对被投诉的营销电子邮件，应立即开展调查，采取合理有效的防范或处理措施，并将有关情况和调查结果及时向各省通信管理局等国家有关机关或者12321网络不良和垃圾信息举报受理中心报告。2.6.5 电子邮件营销服务提供者应按照邮件接收方的要求限制营销电子邮件的发送速率。邮件接收方应将未投递成功的电子邮件服务器错误信息反馈邮件发送方。对信誉良好，行为规范的电子邮件营销服务提供者，邮件接收方可适当放宽营销电子邮件的发送速率。2.7 电子邮件营销服务提供者应积极配合各省通信管理局等国家有关机关和12321网络不良和垃圾信息举报受理中心开展调查工作。2.8 中国互联网协会拥有本规范的解释权和修改权。2.9 本规范自发布之日起施行。 附注:1. 电子邮件营销：指通过电子邮件开展的营销活动。2. 电子邮件营销服务提供者：也是营销电子邮件的发送方，指提供电子邮件营销服务的单位或个人，包括直接开展电子邮件营销活动的单位或个人以及接受委托开展电子邮件营销活动的单位或个人。3. 营销电子邮件：指具有营销功能的电子邮件。根据电子邮件的发送目的，分为事务性邮件和商业性邮件两种类型。3.1 事务性邮件，是指由收件人触发并已允许发件人发送的，以推动、完成或确认相关联流程为主要目的而发送的电子邮件。常见分类包括：（1）账号相关：账号激活、信息验证、账号绑定、密码修改、密码取回等。（2）交易信息：订单通知、付款通知、退款通知、物流通知、交易投诉等。（3）账单信息：对帐单、流水账单、催款通知、账户变更等。（4）其他类型。3.2 商业性邮件，是指任何以推销或者推广某种商品或服务（包括商业性网站的内容）为主要目的而发送的电子邮件。常见分类包括：（1）期刊资讯：更新通知、各类期刊、各类报表等。（2）产品促销：新品推广、季末促销、优惠套餐、折扣优惠、积分优惠等。（3）成员营销：好友邀请、成员关怀、主题活动、用户调研等。（4）其他类型。3.3 事务性邮件如果附带商业性内容，则视为商业性邮件。4. 营销用户：指电子邮件营销活动的对象，即接收营销电子邮件的电子邮箱使用者。5. 订阅：指营销用户预先订制，同意接收订制的营销电子邮件的行为。6. 邮件列表：指已经订阅了某一类营销电子邮件的用户电子邮箱地址列表，该列表是此类营销电子邮件的发送对象。7. 错误代码/硬退回/软退回：指在邮件的SMTP发送过程中，收信方服务器每处理完一条SMTP命令，都会向发信方服务器回传一个返回信息，用于表明对这条SMTP命令的执行结果。如返回信息以4XX（如450等）开头，指接收方临时性拒收该邮件，称软退回；如返回信息以5XX（如550等）开头，指接收方永久性拒收该邮件，称硬退回。以上列举的两类代码，习惯称为错误代码。8. 隐私策略：指电子邮件营销活动所收集的营销用户信息类型，收集方式和收集技术，以及信息的提供对象和使用用途。隐私策略中还应包括用户信息保护的安全措施、责任和实施过程。9. 退订：指营销用户取消订阅营销电子邮件的行为。10. 发送速率：指单位时间内的发送电子邮件的总数量。 常见的时间间隔单位包括：分钟、15分钟、小时、天、周、月等。11. IP地址/IP段IP地址是被用于定位互联网上的电脑一个唯一编号，地址的格式如159.226.1.1。多个IP地址的组合，即称为IP段。邮件发送过程中会?谰軮P地址，来确定邮件发送者和邮件接收者的位置。12. 静态IP地址指长期固定分配给一台计算机使用的IP地址，一般是由网络运营商分配。13. IP反向解析IP反向解析是一项常用的反垃圾邮件技术。常用的DNS服务器里面有两个区域，即“正向查找区域”和“反向查找区域”。正向查找区域是指域名解析，反向查找区域即是IP反向解析，简称PTR记录，其作用是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录需要由提供IP地址的网络运营商（ISP）进行配置。14. SPFSPF（Sender Policy Framework）是一种通过IP地址来认证电子邮件发件人身份的技术，是一项非常高效的反垃圾邮件技术。它通过在DNS中发布一条TXT类型的记录，用于登记某个域名所有拥有的合法的发送邮件的所有IP地址。15. DKIMDKIM（DomainKeys Identified Mail）是一种防诈骗邮件的反垃圾邮件技术。DKIM要求邮件发送方在电子邮件的信头插入DKIM-Signature及电子签名信息，而邮件接收方则通过DNS查询得到其公钥然后进行合法性验证。16. DMARCDMARC（Domain-based Message Authentication, Reporting and Conformance）是一种防诈骗邮件的反垃圾邮件技术。DMARC结合SPF和DKIM两项技术，通过检查电子邮件信头的发件人的合法性，将诈骗邮件识别出来。17. RBLRBL（Real-time Blackhole List），即实时黑名单列表，是一些由国际知名的反垃圾邮件组织所提供的恶意发送垃圾邮件的发件人邮箱地址，IP地址，URL地址等黑名单列表的服务。若已被RBL收录，需到相应RBL官方网站上去核实并申请移除。常见的知名RBL组织，如中国互联网协会反垃圾信息中心、spamhaus，Maps，sorbs，uribl，surbl等。18. w3.org规范由万维网联盟(W3C)共同开发与公布的各种web设计规范。当邮件正文以网页的形式组织时，应当参考这些规范。19．HELO电子邮件头中邮件发送者用来标识自己的身份的命令字段。 附录:电子邮件营销常用指标1. 发送量发送的营销电子邮件数量2. 到达量发送的营销电子邮件数量-退回的营销电子邮件数量3. 到达率到达接收方邮箱的营销电子邮件数量/发送的营销电子邮件数量×100%4. 退信率退回的营销电子邮件数量/发送的营销电子邮件数量×100%5. 硬退信率硬退回的营销电子邮件数量/发送的营销电子邮件数量×100%6. 软退信率软退回的营销电子邮件数量/发送的营销电子邮件数量×100%7. 打开率打开营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复打开邮件的情况。8. 点击率点击了营销电子邮件内容中链接的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复点击的情况。9. 点击打开率点击了营销电子邮件内容中链接的接收方数量/打开营销电子邮件的接收方数量×100%，不计算重复点击和重复打开的情况。10. 退订率退订营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%11. 投诉率被投诉的营销电子邮件数量/到达接收方邮箱的营销电子邮件数量×100%12. 信誉度邮件接收方或者第三方机构对营销电子邮件服务信誉和质量的评定结果 参考中华人民共和国信息产业部令第38号 互联网电子邮件服务管理办法中国互联网协会 电子邮件服务指南（V1.1）中国互联网协会 中国互联网协会互联网公共电子邮件服务规范YD-T 1310-2004 互联网广告电子邮件格式要求YD-T 1311-2004 防范互联网垃圾电子邮件技术要求

详细解答可以参考官方帮助文档 阿里云任何版本的企业邮箱服务禁止发送营销邮件，营销邮件标准及相关规范，参见中国互联网协会反垃圾信息中心的管理规范。中国互联网协会电子邮件营销规范(V1.2)来源：反垃圾信息中心一、总则1.1 为规范电子邮件形式的市场营销行为，统一电子邮件营销[注1]的基本要求，为接收和发送营销内容的电子邮件提供依据，保护电子邮件用户的合法权益，根据我国相关法律法规的规定，制定本规范。1.2 本规范适用于电子邮件营销活动的开展和评价。1.3 本规范基于《互联网电子邮件服务管理办法》（中华人民共和国信息产业部令第38号）制定，从事电子邮件营销除应执行本规范外，还应符合《互联网电子邮件服务管理办法》及其他国家现行的有关标准的规定。二、基本规定2.1 中国互联网协会对电子邮件营销服务提供者[注2]实行登记备案管理。电子邮件营销服务提供者应当在开展电子邮件营销活动前将电子邮件发送服务器所使用的IP地址[注11]及相关信息向中国互联网协会反垃圾信息中心登记备案，并遵守以下规定：2.1.1需报备的 IP 地址及相关信息（1）备案单位基本情况，包括备案单位名称、备案单位地址、备案单位性质、备案单位组织机构代码、备案单位营业执照注册号、备案单位经营范围、备案单位注册资金、备案单位网站域名、备案单位法人代表姓名、备案单位联系人姓名、联系人电话、 联系人电子邮件、联系人即时通信方式等。（2）备案单位电子邮件发送服务器IP地址分配使用信息，包括备案单位用于发送电子邮件的IP地址数量、IP地址、IP地址段、IP地址所属单位名称、IP地址对应域名、IP地址对应发送营销电子邮件[注3]性质/类型（事务性邮件和商业性邮件等）；（3）备案单位可自愿报备每次电子邮件营销活动的信息，包括本次营销活动使用IP地址、域名、发件人邮箱地址、电子邮件HELO[注19]信息、收件人数量、发送周期、平均发送速率[注10]、单IP最大发送速率、发送营销电子邮件性质/类型（事务性邮件和商业性邮件等）、营销电子邮件的原信/样信等。（4）其他需要备案的信息。2.1.2 电子邮件营销服务提供者拟变更电子邮件营销服务信息的，应当提前办理变更登记手续。2.1.3 电子邮件营销服务提供者提交的备案信息必须完整、真实、有效且符合我国相关法律法规规定。2.1.4 中国互联网协会反垃圾信息中心负责审核电子邮件营销服务提供者提交的备案资料，对符合要求的备案单位发放电子邮件营销备案资质证书。2.2 电子邮件营销服务提供者应当确保所有与电子邮件服务有关的域名和IP地址注册信息正确、完整和及时更新，并遵守以下规定：2.2.1 发送电子邮件的服务器IP地址必须使用静态IP[注12]地址，并已采取IP反向解析[注13]措施。2.2.2 发送电子邮件的邮箱域名建议与发送电子邮件的服务器IP反向解析的域名信息一致，并已采取SPF解析[注14]。2.2.3 建议使用DKIM[注15]、DMARC[注16]等反垃圾邮件技术，提高与电子邮件发送相关的域名和IP的信誉。2.2.4 关注知名的RBL[注17]组织列表，如果发现与电子邮件发送相关的域名、IP或邮箱地址出现在知名的RBL[注17]组织列表上，应及时采取措施进行申诉和解封。2.2.5 建议发送事务性邮件和商业性邮件的服务器分配不同的IP地址和发送邮箱地址。2.2.6 具有特殊功能的账户，如postmaster@账户（邮件管理员账户）或abuse@账户（投诉账户），必须保证其有效，并由专人负责管理维护。2.3 电子邮件营销服务提供者应当建立可靠有效的订阅[注5]及退订[注9]机制，并遵守以下规定：2.3.1未经电子邮件接收者明确许可，不得向其发送营销电子邮件。获取接收者许可的过程和内容应清楚、明确，且不违背我国的相关法律规定。电子邮件营销服务提供者应公布获取接收者许可的策略，保存接收者同意接收营销邮件的许可记录，以便在需要时向接收者提供相关信息。2.3.2营销电子邮件必须提供给接收者至少包含一种退订的途径和具体操作方法，退订信息应醒目、清晰，退订操作方法应简单，有效。2.3.3确保退订请求可以正常发送并能够被及时自动响应处理。不得强制要求用户提交退订原因或设置退订条件，退订请求发出后应在3个工作日内生效。2.4 电子邮件营销服务提供者应规范的使用和维护其营销用户[注4]的电子邮件地址列表[注6]，并遵守以下规定：2.4.1 电子邮件营销服务提供者对营销用户的个人信息和电子邮件地址负有保密的义务。未经用户同意，不得泄露用户的个人信息和电子邮件地址，法律、行政法规另有规定的除外。2.4.2 电子邮件营销服务提供者应制定安全合理的隐私策略[注8]。营销用户的个人信息资料和电子邮件地址的使用应与收集目的一致，未经用户同意，不得用于收集目的以外的其它用途。2.4.3 必须保证每个电子邮件地址的取得都经过了用户的许可。尽量确保每个电子邮件地址都是真实有效的。2.4.4 应合理处理邮件投递过程中接收电子邮件的服务器返回的错误代码[注7]。对于返回代码表示不存在的电子邮件地址，应及时从发送列表中删除；对于连续出现投递错误的电子邮件地址，建议及时调整投递策略，减少可能导致错误发生的情况。2.5 电子邮件营销服务提供者应使用规范的电子邮件格式与内容，并遵守以下规定：2.5.1 营销电子邮件的内容不得违反我国相关法律法规规定。2.5.2 营销电子邮件格式应符合国际通用规范标准（参见RFC 2822）。邮件中如果包含HTML格式，应遵循由万维网联盟（W3C）公布的w3.org[注18]设计规范。2.5.3 营销电子邮件应标明邮件发送方的身份和真实的可返回的邮件发送地址。邮件的标题和信体要能准确的反映出邮件的内容、真实来源和通信目的。邮件正文应包含发送方的名称、地址、联系电话和电子邮件地址等详细信息。2.5.4 营销电子邮件的主题与内容必须相匹配。邮件内容应与营销用户的订阅内容一致。2.5.5 应采取有效的措施保护未成年人，尽可能的识别未成年的邮件订阅者。营销电子邮件含有不适合未成年人阅读的内容时，应提前核实接收者的年龄，确保接收者达到合法接收和阅读的年龄。发送给未成年人的营销邮件应征得其监护人的许可，内容符合此年龄段人群的知识水准、阅历和心里成熟程度。2.6 电子邮件营销服务提供者应与邮件接收方建立良好的沟通渠道，并参考以下规定：2.6.1 中国互联网协会反垃圾信息中心负责协助电子邮件营销服务提供者与邮件接收组织之间的沟通协调，在邮件传送过程中出现问题时，及时有效的进行沟通，确保尽快使问题得到解决。2.6.2 中国互联网协会反垃圾信息中心应协助电子邮件营销服务提供者与邮件接收组织之间建立信息反馈机制，改进电子邮件营销服务提供者的服务水平。2.6.3 中国互联网协会反垃圾信息中心应对电子邮件营销活动进行监督，对电子邮件营销服务提供者的信誉进行评价。2.6.4 电子邮件营销服务提供者应建立公平、高效、安全、易于使用的邮件投诉系统，在营销电子邮件中为营销用户提供便捷的投诉方式，受理营销用户对营销电子邮件的投诉。对被投诉的营销电子邮件，应立即开展调查，采取合理有效的防范或处理措施，并将有关情况和调查结果及时向各省通信管理局等国家有关机关或者12321网络不良和垃圾信息举报受理中心报告。2.6.5 电子邮件营销服务提供者应按照邮件接收方的要求限制营销电子邮件的发送速率。邮件接收方应将未投递成功的电子邮件服务器错误信息反馈邮件发送方。对信誉良好，行为规范的电子邮件营销服务提供者，邮件接收方可适当放宽营销电子邮件的发送速率。2.7 电子邮件营销服务提供者应积极配合各省通信管理局等国家有关机关和12321网络不良和垃圾信息举报受理中心开展调查工作。2.8 中国互联网协会拥有本规范的解释权和修改权。2.9 本规范自发布之日起施行。 附注:1. 电子邮件营销：指通过电子邮件开展的营销活动。2. 电子邮件营销服务提供者：也是营销电子邮件的发送方，指提供电子邮件营销服务的单位或个人，包括直接开展电子邮件营销活动的单位或个人以及接受委托开展电子邮件营销活动的单位或个人。3. 营销电子邮件：指具有营销功能的电子邮件。根据电子邮件的发送目的，分为事务性邮件和商业性邮件两种类型。3.1 事务性邮件，是指由收件人触发并已允许发件人发送的，以推动、完成或确认相关联流程为主要目的而发送的电子邮件。常见分类包括：（1）账号相关：账号激活、信息验证、账号绑定、密码修改、密码取回等。（2）交易信息：订单通知、付款通知、退款通知、物流通知、交易投诉等。（3）账单信息：对帐单、流水账单、催款通知、账户变更等。（4）其他类型。3.2 商业性邮件，是指任何以推销或者推广某种商品或服务（包括商业性网站的内容）为主要目的而发送的电子邮件。常见分类包括：（1）期刊资讯：更新通知、各类期刊、各类报表等。（2）产品促销：新品推广、季末促销、优惠套餐、折扣优惠、积分优惠等。（3）成员营销：好友邀请、成员关怀、主题活动、用户调研等。（4）其他类型。3.3 事务性邮件如果附带商业性内容，则视为商业性邮件。4. 营销用户：指电子邮件营销活动的对象，即接收营销电子邮件的电子邮箱使用者。5. 订阅：指营销用户预先订制，同意接收订制的营销电子邮件的行为。6. 邮件列表：指已经订阅了某一类营销电子邮件的用户电子邮箱地址列表，该列表是此类营销电子邮件的发送对象。7. 错误代码/硬退回/软退回：指在邮件的SMTP发送过程中，收信方服务器每处理完一条SMTP命令，都会向发信方服务器回传一个返回信息，用于表明对这条SMTP命令的执行结果。如返回信息以4XX（如450等）开头，指接收方临时性拒收该邮件，称软退回；如返回信息以5XX（如550等）开头，指接收方永久性拒收该邮件，称硬退回。以上列举的两类代码，习惯称为错误代码。8. 隐私策略：指电子邮件营销活动所收集的营销用户信息类型，收集方式和收集技术，以及信息的提供对象和使用用途。隐私策略中还应包括用户信息保护的安全措施、责任和实施过程。9. 退订：指营销用户取消订阅营销电子邮件的行为。10. 发送速率：指单位时间内的发送电子邮件的总数量。 常见的时间间隔单位包括：分钟、15分钟、小时、天、周、月等。11. IP地址/IP段IP地址是被用于定位互联网上的电脑一个唯一编号，地址的格式如159.226.1.1。多个IP地址的组合，即称为IP段。邮件发送过程中会?谰軮P地址，来确定邮件发送者和邮件接收者的位置。12. 静态IP地址指长期固定分配给一台计算机使用的IP地址，一般是由网络运营商分配。13. IP反向解析IP反向解析是一项常用的反垃圾邮件技术。常用的DNS服务器里面有两个区域，即“正向查找区域”和“反向查找区域”。正向查找区域是指域名解析，反向查找区域即是IP反向解析，简称PTR记录，其作用是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录需要由提供IP地址的网络运营商（ISP）进行配置。14. SPFSPF（Sender Policy Framework）是一种通过IP地址来认证电子邮件发件人身份的技术，是一项非常高效的反垃圾邮件技术。它通过在DNS中发布一条TXT类型的记录，用于登记某个域名所有拥有的合法的发送邮件的所有IP地址。15. DKIMDKIM（DomainKeys Identified Mail）是一种防诈骗邮件的反垃圾邮件技术。DKIM要求邮件发送方在电子邮件的信头插入DKIM-Signature及电子签名信息，而邮件接收方则通过DNS查询得到其公钥然后进行合法性验证。16. DMARCDMARC（Domain-based Message Authentication, Reporting and Conformance）是一种防诈骗邮件的反垃圾邮件技术。DMARC结合SPF和DKIM两项技术，通过检查电子邮件信头的发件人的合法性，将诈骗邮件识别出来。17. RBLRBL（Real-time Blackhole List），即实时黑名单列表，是一些由国际知名的反垃圾邮件组织所提供的恶意发送垃圾邮件的发件人邮箱地址，IP地址，URL地址等黑名单列表的服务。若已被RBL收录，需到相应RBL官方网站上去核实并申请移除。常见的知名RBL组织，如中国互联网协会反垃圾信息中心、spamhaus，Maps，sorbs，uribl，surbl等。18. w3.org规范由万维网联盟(W3C)共同开发与公布的各种web设计规范。当邮件正文以网页的形式组织时，应当参考这些规范。19．HELO电子邮件头中邮件发送者用来标识自己的身份的命令字段。 附录:电子邮件营销常用指标1. 发送量发送的营销电子邮件数量2. 到达量发送的营销电子邮件数量-退回的营销电子邮件数量3. 到达率到达接收方邮箱的营销电子邮件数量/发送的营销电子邮件数量×100%4. 退信率退回的营销电子邮件数量/发送的营销电子邮件数量×100%5. 硬退信率硬退回的营销电子邮件数量/发送的营销电子邮件数量×100%6. 软退信率软退回的营销电子邮件数量/发送的营销电子邮件数量×100%7. 打开率打开营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复打开邮件的情况。8. 点击率点击了营销电子邮件内容中链接的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复点击的情况。9. 点击打开率点击了营销电子邮件内容中链接的接收方数量/打开营销电子邮件的接收方数量×100%，不计算重复点击和重复打开的情况。10. 退订率退订营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%11. 投诉率被投诉的营销电子邮件数量/到达接收方邮箱的营销电子邮件数量×100%12. 信誉度邮件接收方或者第三方机构对营销电子邮件服务信誉和质量的评定结果 参考中华人民共和国信息产业部令第38号 互联网电子邮件服务管理办法中国互联网协会 电子邮件服务指南（V1.1）中国互联网协会 中国互联网协会互联网公共电子邮件服务规范YD-T 1310-2004 互联网广告电子邮件格式要求YD-T 1311-2004 防范互联网垃圾电子邮件技术要求

详细解答可以参考官方帮助文档 阿里云任何版本的企业邮箱服务禁止发送营销邮件，营销邮件标准及相关规范，参见中国互联网协会反垃圾信息中心的管理规范。中国互联网协会电子邮件营销规范(V1.2)来源：反垃圾信息中心一、总则1.1 为规范电子邮件形式的市场营销行为，统一电子邮件营销[注1]的基本要求，为接收和发送营销内容的电子邮件提供依据，保护电子邮件用户的合法权益，根据我国相关法律法规的规定，制定本规范。1.2 本规范适用于电子邮件营销活动的开展和评价。1.3 本规范基于《互联网电子邮件服务管理办法》（中华人民共和国信息产业部令第38号）制定，从事电子邮件营销除应执行本规范外，还应符合《互联网电子邮件服务管理办法》及其他国家现行的有关标准的规定。二、基本规定2.1 中国互联网协会对电子邮件营销服务提供者[注2]实行登记备案管理。电子邮件营销服务提供者应当在开展电子邮件营销活动前将电子邮件发送服务器所使用的IP地址[注11]及相关信息向中国互联网协会反垃圾信息中心登记备案，并遵守以下规定：2.1.1需报备的 IP 地址及相关信息（1）备案单位基本情况，包括备案单位名称、备案单位地址、备案单位性质、备案单位组织机构代码、备案单位营业执照注册号、备案单位经营范围、备案单位注册资金、备案单位网站域名、备案单位法人代表姓名、备案单位联系人姓名、联系人电话、 联系人电子邮件、联系人即时通信方式等。（2）备案单位电子邮件发送服务器IP地址分配使用信息，包括备案单位用于发送电子邮件的IP地址数量、IP地址、IP地址段、IP地址所属单位名称、IP地址对应域名、IP地址对应发送营销电子邮件[注3]性质/类型（事务性邮件和商业性邮件等）；（3）备案单位可自愿报备每次电子邮件营销活动的信息，包括本次营销活动使用IP地址、域名、发件人邮箱地址、电子邮件HELO[注19]信息、收件人数量、发送周期、平均发送速率[注10]、单IP最大发送速率、发送营销电子邮件性质/类型（事务性邮件和商业性邮件等）、营销电子邮件的原信/样信等。（4）其他需要备案的信息。2.1.2 电子邮件营销服务提供者拟变更电子邮件营销服务信息的，应当提前办理变更登记手续。2.1.3 电子邮件营销服务提供者提交的备案信息必须完整、真实、有效且符合我国相关法律法规规定。2.1.4 中国互联网协会反垃圾信息中心负责审核电子邮件营销服务提供者提交的备案资料，对符合要求的备案单位发放电子邮件营销备案资质证书。2.2 电子邮件营销服务提供者应当确保所有与电子邮件服务有关的域名和IP地址注册信息正确、完整和及时更新，并遵守以下规定：2.2.1 发送电子邮件的服务器IP地址必须使用静态IP[注12]地址，并已采取IP反向解析[注13]措施。2.2.2 发送电子邮件的邮箱域名建议与发送电子邮件的服务器IP反向解析的域名信息一致，并已采取SPF解析[注14]。2.2.3 建议使用DKIM[注15]、DMARC[注16]等反垃圾邮件技术，提高与电子邮件发送相关的域名和IP的信誉。2.2.4 关注知名的RBL[注17]组织列表，如果发现与电子邮件发送相关的域名、IP或邮箱地址出现在知名的RBL[注17]组织列表上，应及时采取措施进行申诉和解封。2.2.5 建议发送事务性邮件和商业性邮件的服务器分配不同的IP地址和发送邮箱地址。2.2.6 具有特殊功能的账户，如postmaster@账户（邮件管理员账户）或abuse@账户（投诉账户），必须保证其有效，并由专人负责管理维护。2.3 电子邮件营销服务提供者应当建立可靠有效的订阅[注5]及退订[注9]机制，并遵守以下规定：2.3.1未经电子邮件接收者明确许可，不得向其发送营销电子邮件。获取接收者许可的过程和内容应清楚、明确，且不违背我国的相关法律规定。电子邮件营销服务提供者应公布获取接收者许可的策略，保存接收者同意接收营销邮件的许可记录，以便在需要时向接收者提供相关信息。2.3.2营销电子邮件必须提供给接收者至少包含一种退订的途径和具体操作方法，退订信息应醒目、清晰，退订操作方法应简单，有效。2.3.3确保退订请求可以正常发送并能够被及时自动响应处理。不得强制要求用户提交退订原因或设置退订条件，退订请求发出后应在3个工作日内生效。2.4 电子邮件营销服务提供者应规范的使用和维护其营销用户[注4]的电子邮件地址列表[注6]，并遵守以下规定：2.4.1 电子邮件营销服务提供者对营销用户的个人信息和电子邮件地址负有保密的义务。未经用户同意，不得泄露用户的个人信息和电子邮件地址，法律、行政法规另有规定的除外。2.4.2 电子邮件营销服务提供者应制定安全合理的隐私策略[注8]。营销用户的个人信息资料和电子邮件地址的使用应与收集目的一致，未经用户同意，不得用于收集目的以外的其它用途。2.4.3 必须保证每个电子邮件地址的取得都经过了用户的许可。尽量确保每个电子邮件地址都是真实有效的。2.4.4 应合理处理邮件投递过程中接收电子邮件的服务器返回的错误代码[注7]。对于返回代码表示不存在的电子邮件地址，应及时从发送列表中删除；对于连续出现投递错误的电子邮件地址，建议及时调整投递策略，减少可能导致错误发生的情况。2.5 电子邮件营销服务提供者应使用规范的电子邮件格式与内容，并遵守以下规定：2.5.1 营销电子邮件的内容不得违反我国相关法律法规规定。2.5.2 营销电子邮件格式应符合国际通用规范标准（参见RFC 2822）。邮件中如果包含HTML格式，应遵循由万维网联盟（W3C）公布的w3.org[注18]设计规范。2.5.3 营销电子邮件应标明邮件发送方的身份和真实的可返回的邮件发送地址。邮件的标题和信体要能准确的反映出邮件的内容、真实来源和通信目的。邮件正文应包含发送方的名称、地址、联系电话和电子邮件地址等详细信息。2.5.4 营销电子邮件的主题与内容必须相匹配。邮件内容应与营销用户的订阅内容一致。2.5.5 应采取有效的措施保护未成年人，尽可能的识别未成年的邮件订阅者。营销电子邮件含有不适合未成年人阅读的内容时，应提前核实接收者的年龄，确保接收者达到合法接收和阅读的年龄。发送给未成年人的营销邮件应征得其监护人的许可，内容符合此年龄段人群的知识水准、阅历和心里成熟程度。2.6 电子邮件营销服务提供者应与邮件接收方建立良好的沟通渠道，并参考以下规定：2.6.1 中国互联网协会反垃圾信息中心负责协助电子邮件营销服务提供者与邮件接收组织之间的沟通协调，在邮件传送过程中出现问题时，及时有效的进行沟通，确保尽快使问题得到解决。2.6.2 中国互联网协会反垃圾信息中心应协助电子邮件营销服务提供者与邮件接收组织之间建立信息反馈机制，改进电子邮件营销服务提供者的服务水平。2.6.3 中国互联网协会反垃圾信息中心应对电子邮件营销活动进行监督，对电子邮件营销服务提供者的信誉进行评价。2.6.4 电子邮件营销服务提供者应建立公平、高效、安全、易于使用的邮件投诉系统，在营销电子邮件中为营销用户提供便捷的投诉方式，受理营销用户对营销电子邮件的投诉。对被投诉的营销电子邮件，应立即开展调查，采取合理有效的防范或处理措施，并将有关情况和调查结果及时向各省通信管理局等国家有关机关或者12321网络不良和垃圾信息举报受理中心报告。2.6.5 电子邮件营销服务提供者应按照邮件接收方的要求限制营销电子邮件的发送速率。邮件接收方应将未投递成功的电子邮件服务器错误信息反馈邮件发送方。对信誉良好，行为规范的电子邮件营销服务提供者，邮件接收方可适当放宽营销电子邮件的发送速率。2.7 电子邮件营销服务提供者应积极配合各省通信管理局等国家有关机关和12321网络不良和垃圾信息举报受理中心开展调查工作。2.8 中国互联网协会拥有本规范的解释权和修改权。2.9 本规范自发布之日起施行。 附注:1. 电子邮件营销：指通过电子邮件开展的营销活动。2. 电子邮件营销服务提供者：也是营销电子邮件的发送方，指提供电子邮件营销服务的单位或个人，包括直接开展电子邮件营销活动的单位或个人以及接受委托开展电子邮件营销活动的单位或个人。3. 营销电子邮件：指具有营销功能的电子邮件。根据电子邮件的发送目的，分为事务性邮件和商业性邮件两种类型。3.1 事务性邮件，是指由收件人触发并已允许发件人发送的，以推动、完成或确认相关联流程为主要目的而发送的电子邮件。常见分类包括：（1）账号相关：账号激活、信息验证、账号绑定、密码修改、密码取回等。（2）交易信息：订单通知、付款通知、退款通知、物流通知、交易投诉等。（3）账单信息：对帐单、流水账单、催款通知、账户变更等。（4）其他类型。3.2 商业性邮件，是指任何以推销或者推广某种商品或服务（包括商业性网站的内容）为主要目的而发送的电子邮件。常见分类包括：（1）期刊资讯：更新通知、各类期刊、各类报表等。（2）产品促销：新品推广、季末促销、优惠套餐、折扣优惠、积分优惠等。（3）成员营销：好友邀请、成员关怀、主题活动、用户调研等。（4）其他类型。3.3 事务性邮件如果附带商业性内容，则视为商业性邮件。4. 营销用户：指电子邮件营销活动的对象，即接收营销电子邮件的电子邮箱使用者。5. 订阅：指营销用户预先订制，同意接收订制的营销电子邮件的行为。6. 邮件列表：指已经订阅了某一类营销电子邮件的用户电子邮箱地址列表，该列表是此类营销电子邮件的发送对象。7. 错误代码/硬退回/软退回：指在邮件的SMTP发送过程中，收信方服务器每处理完一条SMTP命令，都会向发信方服务器回传一个返回信息，用于表明对这条SMTP命令的执行结果。如返回信息以4XX（如450等）开头，指接收方临时性拒收该邮件，称软退回；如返回信息以5XX（如550等）开头，指接收方永久性拒收该邮件，称硬退回。以上列举的两类代码，习惯称为错误代码。8. 隐私策略：指电子邮件营销活动所收集的营销用户信息类型，收集方式和收集技术，以及信息的提供对象和使用用途。隐私策略中还应包括用户信息保护的安全措施、责任和实施过程。9. 退订：指营销用户取消订阅营销电子邮件的行为。10. 发送速率：指单位时间内的发送电子邮件的总数量。 常见的时间间隔单位包括：分钟、15分钟、小时、天、周、月等。11. IP地址/IP段IP地址是被用于定位互联网上的电脑一个唯一编号，地址的格式如159.226.1.1。多个IP地址的组合，即称为IP段。邮件发送过程中会?谰軮P地址，来确定邮件发送者和邮件接收者的位置。12. 静态IP地址指长期固定分配给一台计算机使用的IP地址，一般是由网络运营商分配。13. IP反向解析IP反向解析是一项常用的反垃圾邮件技术。常用的DNS服务器里面有两个区域，即“正向查找区域”和“反向查找区域”。正向查找区域是指域名解析，反向查找区域即是IP反向解析，简称PTR记录，其作用是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录需要由提供IP地址的网络运营商（ISP）进行配置。14. SPFSPF（Sender Policy Framework）是一种通过IP地址来认证电子邮件发件人身份的技术，是一项非常高效的反垃圾邮件技术。它通过在DNS中发布一条TXT类型的记录，用于登记某个域名所有拥有的合法的发送邮件的所有IP地址。15. DKIMDKIM（DomainKeys Identified Mail）是一种防诈骗邮件的反垃圾邮件技术。DKIM要求邮件发送方在电子邮件的信头插入DKIM-Signature及电子签名信息，而邮件接收方则通过DNS查询得到其公钥然后进行合法性验证。16. DMARCDMARC（Domain-based Message Authentication, Reporting and Conformance）是一种防诈骗邮件的反垃圾邮件技术。DMARC结合SPF和DKIM两项技术，通过检查电子邮件信头的发件人的合法性，将诈骗邮件识别出来。17. RBLRBL（Real-time Blackhole List），即实时黑名单列表，是一些由国际知名的反垃圾邮件组织所提供的恶意发送垃圾邮件的发件人邮箱地址，IP地址，URL地址等黑名单列表的服务。若已被RBL收录，需到相应RBL官方网站上去核实并申请移除。常见的知名RBL组织，如中国互联网协会反垃圾信息中心、spamhaus，Maps，sorbs，uribl，surbl等。18. w3.org规范由万维网联盟(W3C)共同开发与公布的各种web设计规范。当邮件正文以网页的形式组织时，应当参考这些规范。19．HELO电子邮件头中邮件发送者用来标识自己的身份的命令字段。 附录:电子邮件营销常用指标1. 发送量发送的营销电子邮件数量2. 到达量发送的营销电子邮件数量-退回的营销电子邮件数量3. 到达率到达接收方邮箱的营销电子邮件数量/发送的营销电子邮件数量×100%4. 退信率退回的营销电子邮件数量/发送的营销电子邮件数量×100%5. 硬退信率硬退回的营销电子邮件数量/发送的营销电子邮件数量×100%6. 软退信率软退回的营销电子邮件数量/发送的营销电子邮件数量×100%7. 打开率打开营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复打开邮件的情况。8. 点击率点击了营销电子邮件内容中链接的接收方数量/收到营销电子邮件的接收方数量×100%，不计算重复点击的情况。9. 点击打开率点击了营销电子邮件内容中链接的接收方数量/打开营销电子邮件的接收方数量×100%，不计算重复点击和重复打开的情况。10. 退订率退订营销电子邮件的接收方数量/收到营销电子邮件的接收方数量×100%11. 投诉率被投诉的营销电子邮件数量/到达接收方邮箱的营销电子邮件数量×100%12. 信誉度邮件接收方或者第三方机构对营销电子邮件服务信誉和质量的评定结果 参考中华人民共和国信息产业部令第38号 互联网电子邮件服务管理办法中国互联网协会 电子邮件服务指南（V1.1）中国互联网协会 中国互联网协会互联网公共电子邮件服务规范YD-T 1310-2004 互联网广告电子邮件格式要求YD-T 1311-2004 防范互联网垃圾电子邮件技术要求

前提条件 您需要开通容器服务和访问控制（RAM）服务。 登录 容器服务管理控制台和RAM 管理控制台开通相应的服务。 说明 用户账户需有 100 元的余额并通过实名认证，否则无法创建按量付费的 ECS 实例和负载均衡。 随集群一同创建的负载均衡实例只支持按量付费的方式。 Kubernetes 集群仅支持专有网络 VPC。 每个账号默认可以创建的云资源有一定的配额，如果超过配额创建集群会失败。请在创建集群前确认您的配额。如果您需要提高配额，请提交工单申请。 每个账号默认最多可以创建 5 个集群（所有地域下），每个集群中最多可以添加 40 个节点。如果您需要创建更多的集群或者节点，请提交工单申请。 说明 Kubernetes 集群中，VPC 默认路由条目不超过 48 条，意味着 Kubernetes 集群使用 VPC 时，默认节点上限是 48 个，如果需要更大的节点数，需要您先对目标 VPC 开工单，提高 VPC 路由条目，再对容器服务提交工单。 每个账号默认最多可以创建 100 个安全组。 每个账号默认最多可以创建 60 个按量付费的负载均衡实例。 每个账号默认最多可以创建 20 个EIP。 创建安全沙箱容器 Kubernetes 集群时，以下界面参数需要按照表中的要求配置，否则创建的集群将无法使用安全沙箱容器的场景。 参数 配置 可用区 目前只有神龙实例支持安全沙箱容器，请确保所选可用区有神龙实例。 kubernetes 版本 1.14.6-aliyun.1 或更高版本。 容器运行时 安全沙箱容器 Worker 实例 新增实例 节点类型 包年包月 实例规格 神龙裸金属服务器（神龙） 挂载数据盘 请至少挂载一块不小于 200GiB 的数据盘，建议 1T+。 操作系统类型 Linux 网络插件 Terway 操作步骤 登录容器服务管理控制台。 在控制台左侧导航栏中，选择集群 > 集群，进入集群列表页面。 单击页面右上角的创建 Kubernetes 集群，在弹出的选择集群模板页面，选择标准托管集群页面，并单击创建，进入Kubernetes 托管版页面。 集群配置页面 完成集群配置。 完成集群基础选项配置。 配置项 描述 集群名称 填写集群的名称。 说明 集群名称应包含 1~63 个字符，可包含数字、汉字、英文字符或连字符（-）。 Kubernetes 版本 选择 1.14.6-aliyun.1 或更高版本。 容器运行时 必须选择安全沙箱容器。 地域 选择集群所在的地域。 资源组 将鼠标悬浮于页面上方的账号全部资源，选择集群所在的资源组。这里显示选择的资源组。 专有网络 设置集群的网络。 说明 Kubernetes 集群仅支持专有网络。您可以在已有 VPC 列表中选择所需的 VPC。如果没有您需要的专有网络，可以通过单击创建专有网络进行创建，请参见创建专有网络。 虚拟交换机 设置虚拟交换机。 说明 您可以在已有虚拟交换机列表中，根据可用区选择 1-3 个交换机 。如果没有您需要的交换机，可以通过单击创建虚拟交换机进行创建，请参见创建交换机。 网络插件 安全沙箱容器集群的网络类型目前仅支持 Terway 。具体请参见如何使用Terway网络插件。 指定 Terway 网络插件需要为 Pod 选择可用的 VSwitch，这些 VSwitch 的网段掩码必须小于或等于 19，例如 172.17.128.0/19；当集群创建 Pod 时，会为 Pod 从选定的那些 VSwitch 网段中分配 IP。 Pod 虚拟交换机 您需要为 Pod 分配 IP 的虚拟交换机。每个 Pod 虚拟交换机分别对应一个 Worker 实例的虚拟交换机。 Service CIDR 您需要指定 Service CIDR，网段不能与 VPC 及 VPC 内已有 Kubernetes 集群使用的网段重复，创建成功后不能修改。而且 Service 地址段也不能和 Pod 地址段重复，有关 Kubernetes 网络地址段规划的信息，请参见VPC下 Kubernetes 的网络地址段规划。 配置 SNAT 设置是否为专有网络配置 SNAT 网关。 说明 如果您使用的 VPC 中当前已有 NAT 网关，容器服务会使用已有的 NAT 网关。 如果 VPC 中没有 NAT 网关，系统会默认自动为您创建一个 NAT 网关。如果您不希望系统自动创建 NAT 网关，可以取消勾选页面下方的为专有网络配置 SNAT。此时您需要自行配置 NAT 网关实现 VPC 安全访问公网环境，或者手动配置 SNAT，否则 VPC 内实例将不能正常访问公网，会导致集群创建失败。 公网访问 设置是否开放使用 EIP 暴露 API Server。 说明 API Server 提供了各类资源对象（Pod，Service 等）的增删改查及 watch 等 HTTP Rest 接口。 如果选择开放，会创建一个 EIP，并挂载到内网 SLB 上。此时，Master 节点的 6443 端口（对应 API Server）暴露出来，用户可以在外网通过 kubeconfig 连接或操作集群。 如果选择不开放，则不会创建 EIP，用户只能在 VPC 内部用 kubeconfig 连接并操作集群。 RDS 白名单 设置 RDS 白名单。将节点 IP 添加到 RDS 实例的白名单中。 说明 允许白名单 RDS 访问 Kubernetes 集群，RDS 必须在当前集群的 VPC 内。 自定义安全组 设置安全组。单击请选择安全组，在弹出的页面选中目标安全组，单击确定。 详细内容请参见安全组概述。 说明 当前只有白名单用户可使用该功能。提交工单申请使用。 完成集群高级选项配置。 配置项 描述 kube-proxy 代理模式 支持 iptables 和 IPVS 两种模式。 iptables：成熟稳定的 kube-proxy 代理模式，Kubernetes service 的服务发现和负载均衡使用 iptables 规则配置，但性能一般，受规模影响较大，适用于集群存在少量的 service。 IPVS：高性能的 kube-proxy 代理模式，Kubernetes service 的服务发现和负载均衡使用 Linux ipvs 模块进行配置，适用于集群存在大量的 service，对负载均衡有高性能要求的场景。 标签 为集群绑定标签。输入键和对应的值，单击添加。 说明 键是必需的，而 值 是可选的，可以不填写。 键不能是 aliyun、http:// 、https:// 开头的字符串，不区分大小写，最多 64 个字符。 值不能是 http:// 或 https://，可以为空，不区分大小写，最多 128 个字符。 同一个资源，标签键不能重复，相同标签键（Key）的标签会被覆盖。 如果一个资源已经绑定了 20 个标签，已有标签和新建标签会失效，您需要解绑部分标签后才能再绑定新的标签。 集群本地域名 设置是否配置集群本地域名。 说明 默认域名为 cluster.local，可自定义域名。域名由两段组成，每段不超过 63 个字符，且只能使用大小写字母和数字，不能为空。 集群删除保护 设置是否启用集群删除保护。为防止通过控制台或 API 误释放集群。 单击下一步：Worker 配置，完成 Worker 节点配置。 说明 安全沙箱容器场景下， Worker 节点仅支持神龙工作节点，选择神龙型号为 ecs.ebmg5s.24xlarge 完成 Work 节点基础选项配置。 配置项 描述 Worker 实例 只支持新增实例，暂不支持添加已有实例。 付费类型 神龙实例付费模式只支持包年包月，不支持按量付费。 购买时长 选择包年包月时，需设置购买时长。目前支持选择 1、2、3、6 和12 个月。 自动续费 选择包年包月时，需设置是否自动续费。 实例规格 目前机型仅支持神龙裸金属服务器（神龙），该机型的实例规格均可使用。 已选规格 已选的实例规格。只能选择一个规格。 数量 新增 Worker 实例的数量。 系统盘 支持 SSD 云盘和高效云盘。 挂载数据盘 支持 SSD 云盘、高效云盘和普通云盘。 说明 挂载的数据盘用于存储节点上所有容器的根文件系统。因此，请至少挂载一块不小于 200 GiB 的数据盘，建议 1T 以上。 操作系统 安全沙箱容器集群仅支持 Linux 系统。 登录方式 设置密钥。 您需要在创建集群的时候选择密钥对登录方式，单击新建密钥对，跳转到 ECS 云服务器控制台，创建密钥对，参见创建SSH密钥对。密钥对创建完毕后，设置该密钥对作为登录集群的凭据。 设置密码。 登录密码：设置节点的登录密码。 确认密码：确认设置的节点登录密码。 密钥对 设置高级选项。 配置项 描述 实例保护 设置是否启用实例保护。 说明 为防止通过控制台或 API 误释放集群节点，默认启用实例保护。 实例自定义数据 请参见生成实例自定义数据。 自定义镜像 不要选择自定义镜像。安全沙箱容器集群不支持使用自定义镜像。 自定义节点名称 是否开启自定义节点名称。 节点名称由前缀 + 节点 IP 地址子串 + 后缀三部分组成： 前缀和后缀均可由.分隔的一个或多个部分构成，每个部分可以使用小写字母、数字和-，且首尾必须为小写字母和数字。 IP 地址段长度指截取节点 IP 地址末尾的位数，取值范围 5-12。 例如：节点 IP 地址为192.168.0.55，指定前缀为 aliyun.com，IP 地址段长度为 5，后缀为 test，则节点名称为aliyun.com00055test。 CPU Policy 设置 CPU policy。 none：默认策略，表示启用现有的默认 CPU 亲和方案。 static：允许为节点上具有某些资源特征的 Pod 赋予增强的 CPU 亲和性和独占性。 污点（Taints） 为集群内所有Worker节点添加污点。 单击下一步：组件配置，完成组件配置。 配置项 描述 Ingress 设置是否安装 Ingress 组件。默认勾选安装 Ingress 组件 ，请参见 Ingress 支持。 说明 如果您勾选创建 Ingress Dashboard，则需要同步安装日志服务组件。 存储插件 设置存储插件，支持 Flexvolume 和 CSI。Kubernetes 集群通过 Pod 可自动绑定阿里云云盘、NAS、 OSS 存储服务。请参见存储管理-Flexvolume 和存储管理-CSI。 云监控插件 设置是否启用云监控插件。您可以选择在 ECS 节点上安装云监控插件，从而在云监控控制台查看所创建 ECS 实例的监控信息。 日志服务 设置是否启用日志服务，您可使用已有 Project 或新建一个 Project。 勾选使用日志服务，会在集群中自动配置日志服务插件。创建应用时，您可通过简单配置，快速使用日志服务，详情参见使用日志服务进行Kubernetes日志采集。 工作流引擎 设置是否使用 AGS。 如果勾选 AGS，则创建集群时系统自动安装 AGS 工作流插件。 如果不勾选，则需要手动安装 AGS 工作流插件，请参见AGS命令行帮助。 可选组件 在系统组件之外，还可以选择安装容器服务提供的其他组件。 单击创建集群，在弹出的当前配置确认页面，单击创建，启动部署。 说明 一个包含多节点的 Kubernetes 集群的创建时间一般约为十分钟。 执行结果 集群创建成功后，您可以在容器服务管理控制台的 Kubernetes 集群列表页面查看所创建的集群。集群列表 您可以单击集群操作列的查看日志，进入集群日志信息页面查看集群的日志信息。 您也可以在集群日志信息页面中，单击资源栈事件查看更详细的信息。集群日志详情 在集群列表页面中，找到刚创建的集群，单击操作列中的管理，查看集群的基本信息和连接信息。集群基本信息 其中： API Server 公网连接端点：Kubernetes 的 API Server 对公网提供服务的地址和端口，可以通过此服务在用户终端使用 kubectl 等工具管理集群。 API Service 内网连接端点：Kubernetes 的 API server 对集群内部提供服务的地址和端口，此 IP 为负载均衡的地址。 Pod网络CIDR：Kubernetes 的 Pod CIDR 定义集群内 Pod 的网段范围。 Service CIDR：Kubernetes 的 Service CIDR 定义集群内暴露服务的网段范围。 测试域名：为集群中的服务提供测试用的访问域名。服务访问域名后缀是 <cluster_id>.<region_id>.alicontainer.com。 kube-proxy 代理模式：Kubernetes service 的服务发现和负载均衡需要通过服务代理进行配置，支持 iptables 和 IPVS 两种模式。 节点 Pod 数量：单个节点可运行 Pod 数量的上限，默认值为 128。 您可以通过kubectl连接Kubernetes集群，执行 kubectl get node查看集群的节点信息。集群结果

您可以通过容器服务控制台非常方便的创建安全沙箱容器集群。 前提条件 您需要开通容器服务和访问控制（RAM）服务。 登录 容器服务管理控制台和RAM 管理控制台开通相应的服务。 说明 用户账户需有 100 元的余额并通过实名认证，否则无法创建按量付费的 ECS 实例和负载均衡。 随集群一同创建的负载均衡实例只支持按量付费的方式。 Kubernetes 集群仅支持专有网络 VPC。 每个账号默认可以创建的云资源有一定的配额，如果超过配额创建集群会失败。请在创建集群前确认您的配额。如果您需要提高配额，请提交工单申请。 每个账号默认最多可以创建 5 个集群（所有地域下），每个集群中最多可以添加 40 个节点。如果您需要创建更多的集群或者节点，请提交工单申请。 说明 Kubernetes 集群中，VPC 默认路由条目不超过 48 条，意味着 Kubernetes 集群使用 VPC 时，默认节点上限是 48 个，如果需要更大的节点数，需要您先对目标 VPC 开工单，提高 VPC 路由条目，再对容器服务提交工单。 每个账号默认最多可以创建 100 个安全组。 每个账号默认最多可以创建 60 个按量付费的负载均衡实例。 每个账号默认最多可以创建 20 个EIP。 创建安全沙箱容器 Kubernetes 集群时，以下界面参数需要按照表中的要求配置，否则创建的集群将无法使用安全沙箱容器的场景。 参数 配置 可用区 目前只有神龙实例支持安全沙箱容器，请确保所选可用区有神龙实例。 kubernetes 版本 1.14.6-aliyun.1 或更高版本。 容器运行时 安全沙箱容器 Worker 实例 新增实例 节点类型 包年包月 实例规格 神龙裸金属服务器（神龙） 挂载数据盘 请至少挂载一块不小于 200GiB 的数据盘，建议 1T+。 操作系统类型 Linux 网络插件 Terway 操作步骤 登录容器服务管理控制台。 在控制台左侧导航栏中，选择集群 > 集群，进入集群列表页面。 单击页面右上角的创建 Kubernetes 集群，在弹出的选择集群模板页面，选择标准托管集群页面，并单击创建，进入Kubernetes 托管版页面。 集群配置页面 完成集群配置。 完成集群基础选项配置。 配置项 描述 集群名称 填写集群的名称。 说明 集群名称应包含 1~63 个字符，可包含数字、汉字、英文字符或连字符（-）。 Kubernetes 版本 选择 1.14.6-aliyun.1 或更高版本。 容器运行时 必须选择安全沙箱容器。 地域 选择集群所在的地域。 资源组 将鼠标悬浮于页面上方的账号全部资源，选择集群所在的资源组。这里显示选择的资源组。 专有网络 设置集群的网络。 说明 Kubernetes 集群仅支持专有网络。您可以在已有 VPC 列表中选择所需的 VPC。如果没有您需要的专有网络，可以通过单击创建专有网络进行创建，请参见创建专有网络。 虚拟交换机 设置虚拟交换机。 说明 您可以在已有虚拟交换机列表中，根据可用区选择 1-3 个交换机 。如果没有您需要的交换机，可以通过单击创建虚拟交换机进行创建，请参见创建交换机。 网络插件 安全沙箱容器集群的网络类型目前仅支持 Terway 。具体请参见如何使用Terway网络插件。 指定 Terway 网络插件需要为 Pod 选择可用的 VSwitch，这些 VSwitch 的网段掩码必须小于或等于 19，例如 172.17.128.0/19；当集群创建 Pod 时，会为 Pod 从选定的那些 VSwitch 网段中分配 IP。 Pod 虚拟交换机 您需要为 Pod 分配 IP 的虚拟交换机。每个 Pod 虚拟交换机分别对应一个 Worker 实例的虚拟交换机。 Service CIDR 您需要指定 Service CIDR，网段不能与 VPC 及 VPC 内已有 Kubernetes 集群使用的网段重复，创建成功后不能修改。而且 Service 地址段也不能和 Pod 地址段重复，有关 Kubernetes 网络地址段规划的信息，请参见VPC下 Kubernetes 的网络地址段规划。 配置 SNAT 设置是否为专有网络配置 SNAT 网关。 说明 如果您使用的 VPC 中当前已有 NAT 网关，容器服务会使用已有的 NAT 网关。 如果 VPC 中没有 NAT 网关，系统会默认自动为您创建一个 NAT 网关。如果您不希望系统自动创建 NAT 网关，可以取消勾选页面下方的为专有网络配置 SNAT。此时您需要自行配置 NAT 网关实现 VPC 安全访问公网环境，或者手动配置 SNAT，否则 VPC 内实例将不能正常访问公网，会导致集群创建失败。 公网访问 设置是否开放使用 EIP 暴露 API Server。 说明 API Server 提供了各类资源对象（Pod，Service 等）的增删改查及 watch 等 HTTP Rest 接口。 如果选择开放，会创建一个 EIP，并挂载到内网 SLB 上。此时，Master 节点的 6443 端口（对应 API Server）暴露出来，用户可以在外网通过 kubeconfig 连接或操作集群。 如果选择不开放，则不会创建 EIP，用户只能在 VPC 内部用 kubeconfig 连接并操作集群。 RDS 白名单 设置 RDS 白名单。将节点 IP 添加到 RDS 实例的白名单中。 说明 允许白名单 RDS 访问 Kubernetes 集群，RDS 必须在当前集群的 VPC 内。 自定义安全组 设置安全组。单击请选择安全组，在弹出的页面选中目标安全组，单击确定。 详细内容请参见安全组概述。 说明 当前只有白名单用户可使用该功能。提交工单申请使用。 完成集群高级选项配置。 配置项 描述 kube-proxy 代理模式 支持 iptables 和 IPVS 两种模式。 iptables：成熟稳定的 kube-proxy 代理模式，Kubernetes service 的服务发现和负载均衡使用 iptables 规则配置，但性能一般，受规模影响较大，适用于集群存在少量的 service。 IPVS：高性能的 kube-proxy 代理模式，Kubernetes service 的服务发现和负载均衡使用 Linux ipvs 模块进行配置，适用于集群存在大量的 service，对负载均衡有高性能要求的场景。 标签 为集群绑定标签。输入键和对应的值，单击添加。 说明 键是必需的，而 值 是可选的，可以不填写。 键不能是 aliyun、http:// 、https:// 开头的字符串，不区分大小写，最多 64 个字符。 值不能是 http:// 或 https://，可以为空，不区分大小写，最多 128 个字符。 同一个资源，标签键不能重复，相同标签键（Key）的标签会被覆盖。 如果一个资源已经绑定了 20 个标签，已有标签和新建标签会失效，您需要解绑部分标签后才能再绑定新的标签。 集群本地域名 设置是否配置集群本地域名。 说明 默认域名为 cluster.local，可自定义域名。域名由两段组成，每段不超过 63 个字符，且只能使用大小写字母和数字，不能为空。 集群删除保护 设置是否启用集群删除保护。为防止通过控制台或 API 误释放集群。 单击下一步：Worker 配置，完成 Worker 节点配置。 说明 安全沙箱容器场景下， Worker 节点仅支持神龙工作节点，选择神龙型号为 ecs.ebmg5s.24xlarge 完成 Work 节点基础选项配置。 配置项 描述 Worker 实例 只支持新增实例，暂不支持添加已有实例。 付费类型 神龙实例付费模式只支持包年包月，不支持按量付费。 购买时长 选择包年包月时，需设置购买时长。目前支持选择 1、2、3、6 和12 个月。 自动续费 选择包年包月时，需设置是否自动续费。 实例规格 目前机型仅支持神龙裸金属服务器（神龙），该机型的实例规格均可使用。 已选规格 已选的实例规格。只能选择一个规格。 数量 新增 Worker 实例的数量。 系统盘 支持 SSD 云盘和高效云盘。 挂载数据盘 支持 SSD 云盘、高效云盘和普通云盘。 说明 挂载的数据盘用于存储节点上所有容器的根文件系统。因此，请至少挂载一块不小于 200 GiB 的数据盘，建议 1T 以上。 操作系统 安全沙箱容器集群仅支持 Linux 系统。 登录方式 设置密钥。 您需要在创建集群的时候选择密钥对登录方式，单击新建密钥对，跳转到 ECS 云服务器控制台，创建密钥对，参见创建SSH密钥对。密钥对创建完毕后，设置该密钥对作为登录集群的凭据。 设置密码。 登录密码：设置节点的登录密码。 确认密码：确认设置的节点登录密码。 密钥对 设置高级选项。 配置项 描述 实例保护 设置是否启用实例保护。 说明 为防止通过控制台或 API 误释放集群节点，默认启用实例保护。 实例自定义数据 请参见生成实例自定义数据。 自定义镜像 不要选择自定义镜像。安全沙箱容器集群不支持使用自定义镜像。 自定义节点名称 是否开启自定义节点名称。 节点名称由前缀 + 节点 IP 地址子串 + 后缀三部分组成： 前缀和后缀均可由.分隔的一个或多个部分构成，每个部分可以使用小写字母、数字和-，且首尾必须为小写字母和数字。 IP 地址段长度指截取节点 IP 地址末尾的位数，取值范围 5-12。 例如：节点 IP 地址为192.168.0.55，指定前缀为 aliyun.com，IP 地址段长度为 5，后缀为 test，则节点名称为aliyun.com00055test。 CPU Policy 设置 CPU policy。 none：默认策略，表示启用现有的默认 CPU 亲和方案。 static：允许为节点上具有某些资源特征的 Pod 赋予增强的 CPU 亲和性和独占性。 污点（Taints） 为集群内所有Worker节点添加污点。 单击下一步：组件配置，完成组件配置。 配置项 描述 Ingress 设置是否安装 Ingress 组件。默认勾选安装 Ingress 组件 ，请参见 Ingress 支持。 说明 如果您勾选创建 Ingress Dashboard，则需要同步安装日志服务组件。 存储插件 设置存储插件，支持 Flexvolume 和 CSI。Kubernetes 集群通过 Pod 可自动绑定阿里云云盘、NAS、 OSS 存储服务。请参见存储管理-Flexvolume 和存储管理-CSI。 云监控插件 设置是否启用云监控插件。您可以选择在 ECS 节点上安装云监控插件，从而在云监控控制台查看所创建 ECS 实例的监控信息。 日志服务 设置是否启用日志服务，您可使用已有 Project 或新建一个 Project。 勾选使用日志服务，会在集群中自动配置日志服务插件。创建应用时，您可通过简单配置，快速使用日志服务，详情参见使用日志服务进行Kubernetes日志采集。 工作流引擎 设置是否使用 AGS。 如果勾选 AGS，则创建集群时系统自动安装 AGS 工作流插件。 如果不勾选，则需要手动安装 AGS 工作流插件，请参见AGS命令行帮助。 可选组件 在系统组件之外，还可以选择安装容器服务提供的其他组件。 单击创建集群，在弹出的当前配置确认页面，单击创建，启动部署。 说明 一个包含多节点的 Kubernetes 集群的创建时间一般约为十分钟。 执行结果 集群创建成功后，您可以在容器服务管理控制台的 Kubernetes 集群列表页面查看所创建的集群。集群列表 您可以单击集群操作列的查看日志，进入集群日志信息页面查看集群的日志信息。 您也可以在集群日志信息页面中，单击资源栈事件查看更详细的信息。集群日志详情 在集群列表页面中，找到刚创建的集群，单击操作列中的管理，查看集群的基本信息和连接信息。集群基本信息 其中： API Server 公网连接端点：Kubernetes 的 API Server 对公网提供服务的地址和端口，可以通过此服务在用户终端使用 kubectl 等工具管理集群。 API Service 内网连接端点：Kubernetes 的 API server 对集群内部提供服务的地址和端口，此 IP 为负载均衡的地址。 Pod网络CIDR：Kubernetes 的 Pod CIDR 定义集群内 Pod 的网段范围。 Service CIDR：Kubernetes 的 Service CIDR 定义集群内暴露服务的网段范围。 测试域名：为集群中的服务提供测试用的访问域名。服务访问域名后缀是 <cluster_id>.<region_id>.alicontainer.com。 kube-proxy 代理模式：Kubernetes service 的服务发现和负载均衡需要通过服务代理进行配置，支持 iptables 和 IPVS 两种模式。 节点 Pod 数量：单个节点可运行 Pod 数量的上限，默认值为 128。 您可以通过kubectl连接Kubernetes集群，执行 kubectl get node查看集群的节点信息。集群结果 上一篇：概述

生命周期管理 API 描述 CreateDBInstance 该接口用于创建MongoDB副本集实例，同时也可用于克隆MongoDB副本集实例。 ModifyDBInstanceSpec 调用ModifyDBInstanceSpec接口变更MongoDB单节点或副本集实例的规格或存储空间。 DeleteDBInstance 调用DeleteDBInstance接口释放MongoDB实例。 RenewDBInstance 调用RenewDBInstance接口手动续费包年包月的MongoDB实例。 CreateShardingDBInstance 调用CreateShardingDBInstance接口创建或者克隆MongoDB分片集群实例。 CreateNode 调用CreateNode接口为MongoDB分片集群实例增加Shard节点或Mongos节点。 DeleteNode 调用DeleteNode接口删除MongoDB分片集群实例中的Shard节点或Mongos节点。 ModifyNodeSpec 调用ModifyNodeSpec接口变更MongoDB分片集群实例中节点的规格和存储空间。 DescribeRenewalPrice 调用DescribeRenewalPrice接口查询指定MongoDB实例续费一个月的价格。 实例管理 API 描述 DescribeRegions 调用DescribeRegions接口查看MongoDB实例可用的地域和可用区。 DescribeDBInstances 调用DescribeDBInstances接口查询MongoDB实例列表。 RestartDBInstance 调用RestartDBInstance接口重启MongoDB实例。 ModifyDBInstanceMaintainTime 调用ModifyDBInstanceMaintainTime接口修改MongoDB实例的可维护时间。 ModifyDBInstanceDescription 调用ModifyDBInstanceDescription接口修改MongoDB实例名称。 DescribeDBInstanceAttribute 调用DescribeDBInstanceAttribute接口查询MongoDB实例详情。 DescribeReplicaSetRole 调用DescribeReplicaSetRole接口查询MongoDB实例中的角色信息及连接信息。 DescribeShardingNetworkAddress 调用DescribeShardingNetworkAddress接口查询MongoDB分片集群实例的连接信息。 ModifyDBInstanceNetworkType 调用ModifyDBInstanceNetworkType接口切换MongoDB实例的网络类型。 SwitchDBInstanceHA 调用SwitchDBInstanceHA接口切换MongoDB实例中的主备节点。 AllocatePublicNetworkAddress 调用AllocatePublicNetworkAddress接口为MongoDB实例申请公网连接地址。 ReleasePublicNetworkAddress 调用ReleasePublicNetworkAddress接口释放MongoDB实例的公网连接地址。 UpgradeDBInstanceEngineVersion 调用UpgradeDBInstanceEngineVersion接口升级MongoDB实例的数据库版本。 DestroyInstance 调用DestroyInstance接口销毁MongoDB实例。 UpgradeDBInstanceKernelVersion 调用UpgradeDBInstanceKernelVersion接口升级MongoDB实例的数据库小版本。 DescribeKernelReleaseNotes 调用DescribeKernelReleaseNotes接口查询MongoDB实例的小版本发布日志。 ModifyDBInstanceConnectionString 调用ModifyDBInstanceConnectionString接口修改MongoDB实例的连接地址。 ModifyDBInstanceNetExpireTime 调用ModifyDBInstanceNetExpireTime接口延长MongoDB实例的经典网络保留时长。 MigrateAvailableZone 调用MigrateAvailableZone接口迁移MongoDB实例的可用区。 ModifyInstanceVpcAuthMode 调用ModifyInstanceVpcAuthMode接口开启或关闭MongoDB实例的专有网络免密访问功能。 DescribeRoleZoneInfo 调用DescribeRoleZoneInfo接口查询MongoDB实例的各节点的角色和所属的可用区 ReleaseNodePrivateNetworkAddress 调用ReleaseNodePrivateNetworkAddress接口释放MongoDB分片集群实例的Shard节点或ConfigServer节点的内网连接地址。 AllocateNodePrivateNetworkAddress 调用AllocateNodePrivateNetworkAddress接口为MongoDB分片集群实例的Shard节点或ConfigServer节点申请内网连接地址。 CheckCloudResourceAuthorized 调用CheckCloudResourceAuthorized接口查询KMS密钥是否已授权给MongoDB实例。 DescribeAvailableEngineVersion 调用DescribeAvailableEngineVersion接口查询MongoDB实例可升级的版本。 TransformToPrePaid 调用TransformToPrePaid接口将按量付费的MongoDB实例转换为包年包月（预付费）实例。 MigrateToOtherZone 调用MigrateToOtherZone接口迁移MongoDB实例到其他可用区。 标签管理 API 描述 UntagResources 调用UntagResources接口将标签从实例中解绑，如果该标签没有绑定到其他实例，则该标签会被删除。 TagResources 调用TagResources接口为一个或多个MongoDB实例绑定标签。 ListTagResources 调用ListTagResources接口查询MongoDB实例和标签的绑定关系。 DescribeTags 调用DescribeTags接口查询目标地域中所有的标签信息。 账号管理 API 描述 ResetAccountPassword 调用ResetAccountPassword接口重置MongoDB实例中root账号的密码。 DescribeAccounts 调用DescribeAccounts接口查询MongoDB实例的数据库账号信息。 ModifyAccountDescription 调用ModifyAccountDescription接口修改MongoDB实例中root账号的备注信息。 安全管理 API 描述 DescribeSecurityIps 调用DescribeSecurityIps接口查询MongoDB实例的IP白名单。 ModifySecurityIps 调用ModifySecurityIps接口修改MongoDB实例的IP白名单。 DescribeAuditRecords 调用DescribeAuditRecords接口查询MongoDB实例的审计日志。 DescribeAuditFiles 调用DescribeAuditFiles接口查询MongoDB实例的审计日志文件。 DescribeAuditPolicy 调用DescribeAuditPolicy接口查询MongoDB实例的审计日志是否开启。 ModifyAuditLogFilter 调用ModifyAuditLogFilter接口修改MongoDB实例审计日志的采集类型。 DescribeAuditLogFilter 调用DescribeAuditLogFilter接口查询MongoDB实例审计日志采集的日志类型。 ModifyDBInstanceSSL 调用ModifyDBInstanceSSL接口修改MongoDB实例的SSL配置。 DescribeDBInstanceSSL 调用DescribeDBInstanceSSL接口查询MongoDB实例的SSL设置详情。 DescribeDBInstanceTDEInfo 调用DescribeDBInstanceTDEInfo接口查询MongoDB实例的透明数据加密TDE（Transparent Data Encryption）是否开启。 ModifyDBInstanceTDE 调用ModifyDBInstanceTDE接口修改MongoDB实例的透明数据加密TDE（Transparent Data Encryption）状态。 ModifyAuditPolicy 调用ModifyAuditPolicy接口设置MongoDB实例的审计日志开关或日志存储时长。 DescribeSecurityGroupConfiguration 调用DescribeSecurityGroupConfiguration接口查询MongoDB实例绑定的ECS安全组信息。 ModifySecurityGroupConfiguration 调用ModifySecurityGroupConfiguration更改MongoDB实例已绑定的ECS安全组。 日志管理 API 描述 DescribeSlowLogRecords 调用DescribeSlowLogRecords接口查询MongoDB实例运行出现的慢操作日志明细。 DescribeErrorLogRecords 调用DescribeErrorLogRecords接口查询MongoDB实例的错误日志。 DescribeRunningLogRecords 调用DescribeRunningLogRecords接口查询MongoDB实例的运行日志。 性能监控管理 API 描述 DescribeDBInstancePerformance 调用DescribeDBInstancePerformance接口查询MongoDB实例性能数据。 ModifyDBInstanceMonitor 调用ModifyDBInstanceMonitor接口设置MongoDB实例的监控采集粒度。 DescribeDBInstanceMonitor 调用DescribeDBInstanceMonitor接口查询MongoDB实例的监控采集粒度。 参数管理 API 描述 DescribeParameterModificationHistory 调用DescribeParameterModificationHistory接口查询MongoDB实例参数的修改记录。 DescribeParameters 调用DescribeParameters接口查询MongoDB实例的参数配置信息。 DescribeParameterTemplates 调用DescribeParameterTemplates接口查询MongoDB实例默认的参数模板列表。 ModifyParameters 调用ModifyParameters接口修改MongoDB实例的参数。 索引推荐 API 描述 DescribeIndexRecommendation 调用DescribeIndexRecommendation接口查询MongoDB实例的索引推荐详情。 CreateRecommendationTask 调用CreateRecommendationTask接口为MongoDB实例创建索引分析任务。 DescribeAvailableTimeRange 调用DescribeAvailableTimeRange接口查询MongoDB实例索引分析报告的分析时间段和生成状态。 备份与恢复 API 描述 DescribeBackupPolicy 调用DescribeBackupPolicy接口查询MongoDB实例的备份策略。 ModifyBackupPolicy 调用ModifyBackupPolicy接口修改MongoDB实例的备份策略。 CreateBackup 调用CreateBackup接口手动备份MongoDB实例。 DescribeBackups 调用DescribeBackups接口查询MongoDB实例的备份列表。 RestoreDBInstance 调用RestoreDBInstance接口恢复数据至当前MongoDB实例。 DescribeBackupDBs 在为MongoDB实例执行单库恢复前，您可以调用本接口查询指定的时间点或备份集内包含的数据库。 CheckRecoveryCondition 调用CheckRecoveryCondition接口检查MongoDB实例是否满足数据恢复的条件。 附表 API 描述 错误码表 错误码表 实例规格表 实例规格表 实例状态表 实例状态表 性能监控表 性能监控表

您好，请参考： 主机重启迁移帮助文档 为了提升服务器的运行性能和稳定性，我们需要分批次进行硬件升级。我们将会把重启的具体时间发送给您，如果您想要对重启时间进行修改，请参考如下方式进行操作。如您有疑问或困难，请通过工单联系我们，我们将全力协助您。    下面分别介绍翔云、锋云主机的预约和独享虚拟主机、轻云服务器的迁移时间修改方式。 首先在开始准备迁移之前，我们会通过邮件向您发送需要设置重启时间的主机列表，请根据列表登录阿里云网站进行操作。   一、翔云、锋云主机 1.    通过ID密码登陆阿里云网站，并点击左侧“云虚拟主机”，再点击“锋云/翔云/独享主机” 2.    然后根据通过邮件或者站内信发送给您的列表，找到您需要设置迁移时间的主机，点击“管理”   3.    页面最下方有“重启迁移设置”菜单，点击“设置”，并根据提示设置重启时间 注意：重启时间不能早于当前时间，也不能晚于页面提示的最晚重启时间   设置时间 4.    设置完毕后，请您届时做好迁移重启准备，避免影响您的业务. 注意：如果是Linux服务器，磁盘设备识别名称将在迁移后发生变化。在预约迁移前，您需要修改系统的 /etc/fstab 文件，将 /dev/xvda、/dev/xvdb、/dev/xvdc 等修改为 /dev/vda、/dev/vdb、/dev/vdc 等，避免迁移后实例启动异常或磁盘挂载失败。 二、 独享虚拟主机和轻云服务器 1.      通过ID密码登陆阿里云网站，并点击左侧“云虚拟主机”   2.      然后根据通过邮件或者站内信发送给您的列表，找到您需要设置迁移时间的主机，点击“管理” 3.      登录到控制台后，首页会有需要设置重启时间的提示，可以直接点击相关操作的链接“这里”，或者点击上方的“主机信息” 4.      页面中部有“迁移重启设置”的操作区域，点击“设置重启时间”，然后按照提示设置。 注意：重启时间不能早于当前时间，也不能晚于页面提示的最晚重启时间 设置重启时间 5.      设置完毕后，请您届时做好迁移重启准备，避免影响您的业务。 另外提醒您注意： 在重启迁移完毕后一段时间内，由于正在同步数据，服务器的磁盘IO性能会有所下降并且快照、磁盘功能也将关闭，等数据同步完毕后IO性能和快照、磁盘功能都将自动恢复。请您了解。 迁移常见问题FAQ 1.对服务器的影响主要有哪些？ 对服务器的主要影响有： 1）时长：通常来说升级会在15分钟左右完成，期间服务器会重启并且用户无法操作，当天快照可能失败（数据自动备份功能将会没有当天的记录）。对于长时间未重启或升级过内核、驱动但未重启过的，本次重启可能会有文件系统检查（File System Check , fsck）、相关配置改动生效、启动失败等问题，如遇异常时请及时通过工单联系我们。 2） 迁移后的 IP：为了方便您的操作， 本次迁移将保持公网 IP 不变. 3）IO 性能 ：迁移后由于在底层还需要追加数据，所以 IO 性能会有所下降，同时快照和磁盘功能也将关闭。一旦数据追加完毕后，IO 性能、快照和磁盘功能都将自动恢复。通常100GB的数据需要4个小时左右。 4 )  软件授权码：硬件升级后部分依赖识别硬件的软件授权码可能会发生变化。 2.预约重启时间后可不可以再修改？ 预约后重启时间不可以修改。         3.如何知道迁移进度？ 重启迁移成功后会将成功的消息发送给您。 专有网络 VPC-单ECS迁移方案 单ECS迁移方案，即无需通过创建镜像、重新购买等步骤就能把经典网络的ECS实例迁移到专有网络。 在控制台上完成迁移预约后，阿里云会根据您设置的迁移时间进行迁移，迁移完成后，您将收到迁移成功的短信消息提醒。 在使用单ECS迁移方案时，注意： 迁移过程中ECS需要进行重启，请关注对系统的影响。迁移后，不需要进行任何特殊配置，ECS实例的公网IP都不变。 虽然公网IP没有变化，但无法在ECS的操作系统中查看到这个公网IP（称之为VPC类型的ECS的固定公网IP）。您可以将按流量计费的ECS实例的固定公网IP转换为EIP，方便管理，详情参见ECS固定公网IP转换为EIP。如果您的个别应用对ECS操作系统上可见的公网IP有依赖，迁移后会有影响，请谨慎评估。迁移后，所有地域的ECS实例的私网IP都会变化。迁移到的目标VPC的交换机的可用区必须和待迁移的ECS的可用区相同。迁移过程中实例ID及登录信息不变。包年包月购买方式的实例迁移过程中不需要额外付费。从新的计费周期开始，按照同规格专有网络的价格计算。且迁移到VPC后，ECS的使用费用会降低。迁移前如有续费变配未生效订单或未支付订单，迁移后该订单将被取消且不能恢复，您需要重新下单。迁移到VPC后，若ECS有使用其它云服务，需将访问方式调整到VPC访问方式(云产品混访方案)。

概述 当客户端访问目标服务器出现ping丢包或ping不通时，可以通过tracert或mtr等工具进行链路测试来判断问题根源。本文介绍如何通过工具进行链路测试和分析。 详细信息 阿里云提醒您： 如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。 如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。 本文分别介绍如下链路测试方法。 链路测试工具 测试结果的简要分析 常见的链路异常场景 链路测试步骤 测试完成后的解决方法 链路测试工具 操作系统类型不同，链路测试所使用的工具也有所不同。简要介绍如下。 Linux系统 此处简单介绍两个链路测试工具。 工具一：mtr命令 mtr（My traceroute）几乎是所有Linux发行版本预装的网络测试工具。其将ping和traceroute的功能合并，所以功能更强大。mtr默认发送ICMP数据包进行链路探测。您也可以通过“-u”参数来指定使用UDP数据包进行探测。相对于traceroute只会做一次链路跟踪测试，mtr会对链路上的相关节点做持续探测并给出相应的统计信息。所以，mtr能避免节点波动对测试结果的影响，所以其测试结果更正确，建议优先使用。 用法说明 mtr [-BfhvrwctglxspQomniuT46] [--help] [--version] [--report] [--report-wide] [--report-cycles=COUNT] [--curses] [--gtk] [--csv|-C] [--raw] [--xml] [--split] [--mpls] [--no-dns] [--show-ips] [--address interface] [--filename=FILE|-F] [--ipinfo=item_no|-y item_no] [--aslookup|-z] [--psize=bytes/-s bytes] [--order fields] [--report-wide|-w] [--inet] [--inet6] [--max-ttl=NUM] [--first-ttl=NUM] [--bitpattern=NUM] [--tos=NUM] [--udp] [--tcp] [--port=PORT] [--timeout=SECONDS] [--interval=SECONDS] HOSTNAME 常见可选参数说明 --report：以报告模式显示输出。 --split：将每次追踪的结果分别列出来，而非统计整个结果。 --psize：指定ping数据包的大小。 --no-dns：不对IP地址做域名反解析。 --address：主机有多个IP地址时，设置发送数据包的IP地址。 -4：只使用IPv4协议。 -6：只使用IPv6协议。 另外，也可以在mtr运行过程中，输入类似如下的字母来快速切换模式。 ？或h：显示帮助菜单。 d：切换显示模式。 n：启用或禁用DNS域名解析。 u：切换使用ICMP或UDP数据包进行探测。 命令输出示例 返回结果说明 默认配置下，返回结果中各数据列的说明如下。 第一列（Host）：节点IP地址和域名。按 n 键可切换显示。 第二列（Loss%）：节点丢包率。 第三列（Snt）：每秒发送数据包数。默认值是10，可以通过“-c”参数指定。 第四列（Last）：最近一次的探测延迟。 第五、六、七列（Avg、Best、Worst）：分别是探测延迟的平均值、最小值和最大值。 第八列（StDev）：标准偏差。越大说明相应节点越不稳定。 工具二：traceroute命令 traceroute也是几乎所有Linux发行版本预装的网络测试工具，用于跟踪Internet协议（IP）数据包传送到目标地址时经过的路径。traceroute先发送小的具有最大存活时间值（Max_TTL）的UDP探测数据包，然后侦听从网关开始的整个链路上的ICMP TIME_EXCEEDED响应。探测从TTL=1开始，TTL值逐步增加，直至接收到ICMP PORT_UNREACHABLE消息。ICMP PORT_UNREACHABLE消息用于标识目标主机已经被定位，或命令已经达到允许跟踪的最大TTL值。traceroute默认发送UDP数据包进行链路探测。可以通过“-I”参数来指定使用ICMP数据包进行探测。 用法说明 traceroute [-I] [ -m Max_ttl ] [ -n ] [ -p Port ] [ -q Nqueries ] [ -r ] [ -s SRC_Addr ] [ -t TypeOfService ] [ -f flow ] [ -v ] [ -w WaitTime ] Host [ PacketSize ] 常见可选参数说明 -d：使用Socket层级的排错功能。 -f：设置第一个检测数据包的存活数值TTL的大小。 -F：设置不要分段标识。 -g：设置来源路由网关，最多可设置8个。 -i：主机有多个网卡时，使用指定的网卡发送数据包。 -I：使用ICMP数据包替代UDP数据包进行探测。 -m：设置检测数据包的最大存活数值TTL的大小。 -n：直接使用IP地址而非主机名称（禁用DNS反查）。 -p：设置UDP传输协议的通信端口。 -r：忽略普通的Routing Table，直接将数据包发送到目标主机上。 -s：设置本地主机发送数据包的IP地址。 -t：设置检测数据包的TOS数值。 -v：详细显示指令的执行过程。 -w：设置等待远端主机回包时间。 -x：开启或关闭数据包的正确性检验。 命令输出示例 Windows系统 此处简单介绍两个链路测试工具。 工具一：WinMTR（建议优先使用） WinMTR是mtr工具在Windows环境下的图形化实现，但进行了功能简化，只支持部分mtr的参数。WinMTR默认发送ICMP数据包进行探测，无法切换。和mtr一样，相比tracert，WinMTR能避免节点波动对测试结果的影响，所以测试结果更正确。所以在WinMTR可用的情况下，建议优先使用WinMTR进行链路测试。 用法说明 WinMTR无需安装，直接解压运行即可。操作方法非常简单，说明如下。 如下图所示，运行程序后，在 Host 字段输入目标服务器域名或IP，注意不要包含空格。 单击 Start 开始测试。开始测试后，相应按钮变成了 Stop。 运行一段时间后，单击 Stop 停止测试。 其它选项说明如下。 Copy Text to clipboard：将测试结果以文本格式复制到粘贴板。 Copy HTML to clipboard：将测试结果以HTML格式复制到粘贴板。 Export TEXT：将测试结果以文本格式导出到指定文件。 Export HTML：将测试结果以HTML格式导出到指定文件。 Options：可选参数，包括的可选参数如下。 Interval（sec）：每次探测的间隔（过期）时间。默认为1秒。 ping size(bytes)：ping探测所使用的数据包大小，默认为64字节。 Max hosts in LRU list：LRU列表支持的最大主机数，默认值为128。 Resolve names：通过反查IP地址，以域名显示相关节点。 返回结果说明 默认配置下，返回结果中各数据列的说明如下。 第一列（Hostname）：节点的IP或域名。 第二列（Nr）：节点编号。 第三列（Loss%）：节点丢包率。 第四列（Sent）：已发送的数据包数量。 第五列（Recv）：已成功接收的数据包数量。 第六、七、八、九列（Best 、Avg、Worst、Last）：分别是到相应节点延迟的最小值、平均值、最大值和最后一次值。 工具二：tracert命令行工具 tracert（Trace Route）是Windows自带的网络诊断命令行程序，用于跟踪Internet协议（IP）数据包传送到目标地址时经过的路径。 tracert通过向目标地址发送 ICMP 数据包来确定到目标地址的路由。在这些数据包中，tracert使用了不同的IP“生存期”，即TTL值。由于要求沿途的路由器在转发数据包前必须至少将TTL减少1，因此TTL实际上相当于一个跃点计数器（hop counter）。当某个数据包的TTL达到0时，相应节点就会向源计算机发送一个ICMP超时的消息。 tracert第一次发送TTL为1的数据包，并在每次后续传输时将TTL增加1，直到目标地址响应或达到TTL的最大值。中间路由器发送回来的ICMP超时消息中包含了相应节点的信息。 用法说明 tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name 常见可选参数说明 -d：不要将地址解析为主机名（禁用DNS反解）。 -h：maximum_hops，指定搜索目标地址时的最大跃点数。 -j： host-list，指定沿主机列表的松散源路由。 -w：timeout，等待每个回复的超时时间（以毫秒为单位）。 -R：跟踪往返行程路径（仅适用于IPv6）。 -S：srcaddr，要使用的源地址（仅适用于IPv6）。 -4：强制使用IPv4。 -6：强制使用IPv6。 target_host：目标主机域名或IP地址。 命令输出示例 C:> tracert -d 223.5.5.5 通过最多 30 个跃点跟踪到 223.5.5.5 的路由 1 请求超时。 2 9 ms 3 ms 12 ms 192.168.X.X 3 4 ms 9 ms 2 ms X.X.X.X 4 9 ms 2 ms 1 ms XX.XX.XX.XX 5 11 ms 211.XX.X.XX 6 3 ms 2 ms 2 ms 2XX.XX.1XX.XX 7 2 ms 2 ms 1 ms 42.XX.2XX.1XX 8 32 ms 4 ms 3 ms 42.XX.2XX.2XX 9 请求超时。 10 3 ms 2 ms 2 ms 223.5.5.5 跟踪完成。 测试结果的简要分析 由于mtr（WinMTR）有更高的准确性，本文以其测试结果为例，参考如下要点进行分析。此处分析时以如下示例图为基础。 要点一：网络区域 正常情况下，从客户端到目标服务器的整个链路中会包含如下区域。 客户端本地网络，即本地局域网和本地网络提供商网络。如上图中的区域A。如果该区域出现异常，并且是客户端本地网络中的节点出现异常，则需要对本地网络进行相应的排查分析。如果是本地网络提供商网络出现异常，则需要向当地运营商反馈问题。 运营商骨干网络。如上图中的区域B。如果该区域出现异常，可以根据异常节点的IP查询其所属的运营商，直接向对应运营商进行反馈，或者通过阿里云技术支持，向运营商进行反馈。 目标服务器本地网络，即目标服务器所属提供商的网络。如上图中的区域C。如果该区域出现异常，需要向目标服务器所属的网络运营商反馈问题。 要点二：链路负载均衡 如上图中的区域D。如果中间链路某些部分启用了链路负载均衡，则mtr只会对首尾节点进行编号和探测统计。中间节点只会显示相应的IP或域名信息。 要点三：结合Avg（平均值）和StDev（标准偏差）综合判断 由于链路抖动或其它因素的影响，节点的Best和Worst值可能相差很大。Avg统计了自链路测试以来所有探测的平均值，所以能更好的反应出相应节点的网络质量。而StDev越高，则说明数据包在相应节点的延时值越不相同，即越离散。所以标准偏差值可用于协助判断Avg是否真实反应了相应节点的网络质量。例如，如果标准偏差很大，说明数据包的延迟是不确定的。可能某些数据包延迟很小，例如25ms，而另一些延迟却很大，例如350ms，但最终得到的平均延迟反而可能是正常的。所以，此时Avg并不能很好的反应出实际的网络质量情况。 综上，建议的分析标准如下。 如果StDev很高，则同步观察相应节点的Best和Worst，来判断相应节点是否存在异常。 如果StDev不高，则通过Avg来判断相应节点是否存在异常。 注：上述StDev高或者不高，并没有具体的时间范围标准。而需要根据同一节点其它列的延迟值大小来进行相对评估。比如，如果Avg为30ms，那么，当StDev为25ms，则认为是很高的偏差。而如果Avg为325ms，则StDev同样为25ms，反而认为是不高的偏差。 要点四：Loss%（丢包率）的判断 任一节点的Loss%（丢包率）如果不为零，则说明这一跳网络可能存在问题。导致相应节点丢包的原因通常有如下两种。 运营商基于安全或性能需求，限制了节点的ICMP发送速率，导致丢包。 节点确实存在异常，导致丢包。 结合异常节点及其后续节点的丢包情况，并参考如下内容，判定丢包原因。 如果随后节点均没有丢包，则通常表示异常节点丢包是由于运营商策略限制所致。可以忽略相关丢包。如上图中的第2跳所示。 如果随后节点也出现丢包，则通常说明异常节点确实存在网络异常，导致丢包。如上图中的第5跳所示。 另外，上述两种情况可能同时发生，即相应节点既存在策略限速，又存在网络异常。对于这种情况，如果异常节点及其后续节点连续出现丢包，而且各节点的丢包率不同，则通常以最后几跳的丢包率为准。如上图所示，在第 5、6、7跳均出现了丢包。所以，最终丢包情况，以第7跳的40%作为参考。 要点五：关于延迟 关于延迟，有如下两种场景。 场景一：延迟跳变 如果在某一跳之后延迟明显陡增，则通常判断该节点存在网络异常。如上图所示，从第5跳之后的后续节点延迟明显陡增，则推断是第5跳节点出现了网络异常。不过，高延迟并不一定完全意味着相应节点存在异常。如上图所示，第5跳之后，虽然后续节点延迟明显陡增，但测试数据最终仍然正常到达了目的主机。所以，延迟大也有可能是在数据回包链路中引发的。所以，需要结合反向链路测试一并分析。 场景二：ICMP限速导致延迟增加 ICMP策略限速也可能会导致相应节点的延迟陡增，但后续节点通常会恢复正常。如上图所示，第3跳有100%的丢包率，同时延迟也明显陡增。但随后节点的延迟马上恢复了正常。所以判断该节点的延迟陡增及丢包是由于策略限速所致。 常见的链路异常场景 常见的链路异常场景及测试报告如下。 场景一：目标主机网络配置不当 示例数据如下。 [root@mycentos6 ~]# mtr —no-dns www.google.com My traceroute [v0.75] mycentos6.6 (0.0.0.0) Wed Jun 15 19:06:29 2016 Keys: Help Display mode Packets Pings Host Loss% Snt Last Avg Best Wrst StDev 1. ??? 2. ??? 3. 1XX.X.X.X 0.0% 10 521.3 90.1 2.7 521.3 211.3 4. 11X.X.X.X 0.0% 10 2.9 4.7 1.6 10.6 3.9 5. 2X.X.X.X 80.0% 10 3.0 3.0 3.0 3.0 0.0 6. 2X.XX.XX.XX 0.0% 10 1.7 7.2 1.6 34.9 13.6 7. 1XX.1XX.XX.X 0.0% 10 5.2 5.2 5.1 5.2 0.0 8. 2XX.XX.XX.XX 0.0% 10 5.3 5.2 5.1 5.3 0.1 9. 173.194.200.105 100.0% 10 0.0 0.0 0.0 0.0 0.0 在该示例中，数据包在目标地址出现了100%的丢包。从数据上看是数据包没有到达，其实很有可能是目标服务器相关安全策略（比如防火墙、iptables 等）禁用了ICMP所致，导致目的主机无法发送任何应答。所以，该场景需要排查目标服务器的安全策略配置。 场景二：ICMP限速 示例数据如下。 [root@mycentos6 ~]# mtr --no-dns www.google.com My traceroute [v0.75] mycentos6.6 (0.0.0.0) Wed Jun 15 19:06:29 2016 Keys: Help Display mode Packets Pings Host Loss% Snt Last Avg Best Wrst StDev 1. 63.247.X.X 0.0% 10 0.3 0.6 0.3 1.2 0.3 2. 63.247.X.XX 0.0% 10 0.4 1.0 0.4 6.1 1.8 3. 209.51.130.213 0.0% 10 0.8 2.7 0.8 19.0 5.7 4. aix.pr1.atl.google.com 0.0% 10 6.7 6.8 6.7 6.9 0.1 5. 72.14.233.56 60.0% 10 27.2 25.3 23.1 26.4 2.9 6. 209.85.254.247 0.0% 10 39.1 39.4 39.1 39.7 0.2 7. 64.233.174.46 0.0% 10 39.6 40.4 39.4 46.9 2.3 8. gw-in-f147.1e100.net 0.0% 10 39.6 40.5 39.5 46.7 2.2 在该示例中，在第5跳出现了明显的丢包，但后续节点均未见异常。所以推断是该节点ICMP限速所致。该场景对最终客户端到目标服务器的数据传输不会有影响，所以，分析的时候可以忽略。 场景三：环路 示例数据如下。 [root@mycentos6 ~]# mtr —no-dns www.google.com My traceroute [v0.75] mycentos6.6 (0.0.0.0) Wed Jun 15 19:06:29 2016 Keys: Help Display mode Packets Pings Host Loss% Snt Last Avg Best Wrst StDev 1. 63.247.7X.X 0.0% 10 0.3 0.6 0.3 1.2 0.3 2. 63.247.6X.X 0.0% 10 0.4 1.0 0.4 6.1 1.8 3. 209.51.130.213 0.0% 10 0.8 2.7 0.8 19.0 5.7 4. aix.pr1.atl.google.com 0.0% 10 6.7 6.8 6.7 6.9 0.1 5. 72.14.233.56 0.0% 10 0.0 0.0 0.0 0.0 0.0 6. 72.14.233.57 0.0% 10 0.0 0.0 0.0 0.0 0.0 7. 72.14.233.56 0.0% 10 0.0 0.0 0.0 0.0 0.0 8. 72.14.233.57 0.0% 10 0.0 0.0 0.0 0.0 0.0 9 ??? 0.0% 10 0.0 0.0 0.0 0.0 0.0 在该示例中，数据包在第5跳之后出现了循环跳转，导致最终无法到达目标服务器。这通常是由于运营商相关节点路由配置异常所致。所以，该场景需要联系相应节点归属运营商处理。 场景四：链路中断 示例数据如下。 [root@mycentos6 ~]# mtr —no-dns www.google.com My traceroute [v0.75] mycentos6.6 (0.0.0.0) Wed Jun 15 19:06:29 2016 Keys: Help Display mode Packets Pings Host Loss% Snt Last Avg Best Wrst StDev 1. 63.247.7X.X 0.0% 10 0.3 0.6 0.3 1.2 0.3 2. 63.247.6X.X 0.0% 10 0.4 1.0 0.4 6.1 1.8 3. 209.51.130.213 0.0% 10 0.8 2.7 0.8 19.0 5.7 4. aix.pr1.atl.google.com 0.0% 10 6.7 6.8 6.7 6.9 0.1 5. ??? 0.0% 10 0.0 0.0 0.0 0.0 0.0 6. ??? 0.0% 10 0.0 0.0 0.0 0.0 0.0 7. ??? 0.0% 10 0.0 0.0 0.0 0.0 0.0 8. ??? 0.0% 10 0.0 0.0 0.0 0.0 0.0 9 ??? 0.0% 10 0.0 0.0 0.0 0.0 0.0 在该示例中，数据包在第4跳之后就无法收到任何反馈。这通常是由于相应节点中断所致。建议结合反向链路测试做进一步确认。该场景需要联系相应节点归属运营商处理。 链路测试步骤 通常情况下，链路测试步骤如下图所示。 相关步骤的详情说明如下。 步骤一：获取本地网络对应的公网IP 在客户端本地网络内访问淘宝IP地址库，获取本地网络对应的公网IP地址。 步骤二：正向链路测试（ping和mtr） 从客户端向目标服务器做如下测试。 从客户端向目标服务器域名或IP做持续的ping测试，建议至少ping 100个数据包，记录测试结果。 根据客户端操作系统的不同，使用WinMTR或mtr，设置测试目的地址为目标服务器域名或IP，然后进行链路测试，记录测试结果。 步骤三：反向链路测试（ping和mtr） 进入目标服务器系统内部做如下测试。 从目标服务器向步骤一获取的客户端IP做持续的ping测试，建议至少ping 100个数据包，记录测试结果。 根据目标服务器操作系统的不同，使用WinMTR或mtr，设置测试目的地址为客户端的IP地址，然后进行链路测试，记录测试结果。 步骤四：测试结果分析 参阅测试结果的简要分析，对测试结果进行分析。确认异常节点后，访问如下链接或其他可以查询IP归属地的网站，获取该异常节点的归属运营商信息。如果是客户端本地网络相关节点出现异常，则需要对本地网络进行相应排查分析。如果是运营商相关节点出现异常，则需要向运营商反馈问题。查询结果类似如下。 测试完成后的解决方法 当出现ping丢包或ping不通时，首先请参考云服务器ECS网络故障诊断，排查是否为网络故障。 如果确认是因系统中病毒导致使用ping命令测试ECS实例的IP地址间歇性丢包，则可参考使用ping命令测试ECS实例的IP地址间歇性丢包进行处理。 如果是因删除ECS实例的默认安全组规则导致无法ping通ECS实例，可参考删除ECS实例的默认安全组规则导致无法ping通ECS实例进行处理。 如果在Linux系统内核没有禁PING的情况下，是因系统内部防火墙策略设置导致ECS服务器PING不通。可参考Linux系统的ECS中没有禁PING却PING不通的解决方法。

概述 当网站访问很慢或无法访问时，若已经排除显著的问题，而使用ping命令检测到有明显丢包时，建议您做链路测试。Linux环境下，推荐优先使用mtr命令行工具测试，或使用traceroute命令行工具进行链路测试来判断问题来源。通常情况下，链路测试步骤如下。 利用链路测试工具探测网络状况和服务器状态。 根据链路测试结果分析处理。 详细信息 阿里云提醒您： 如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。 如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。 如下分别介绍mtr命令行工具和tracert命令行工具的使用方法及如何分析链路测试结果。 mtr命令行工具 mtr（My traceroute）几乎是所有Linux发行版本预装的网络测试工具，集成了tracert与ping这两个命令的图形界面，功能十分强大。ping与tracert通常被用来检测网络状况和服务器状态，具体说明如下。 命令名称 具体说明 ping 送出封包到指定的服务器。如果服务器有回应就会传送回封包，并附带返回封包来回的时间。 tracert 返回从用户的电脑到指定的服务器中间经过的所有节点（路由）以及每个节点的回应速度。 mtr默认发送ICMP数据包进行链路探测，通过“-u”参数指定UDP数据包用于探测。相对于traceroute只做一次链路跟踪测试，mtr会对链路上的相关节点做持续探测并给出相应的统计信息。mtr能避免节点波动对测试结果的影响，所以其测试结果更正确，建议优先使用。 用法说明 mtr [-hvrctglspni46] [--help] [--version] [--report] [--report-cycles=COUNT] [--curses] [--gtk] [--raw] [--split] [--no-dns] [--address interface] [--psize=bytes/-s bytes] [--interval=SECONDS] HOSTNAME [PACKETSIZE] 示例输出 [root@centos ~]# mtr 223.5.5.5 My traceroute [v0.75] mycentos6.6 (0.0.0.0) Wed Jun 15 23:16:27 2016 Keys: Help Display mode Restart statistics Order of fields quit Packets Pings Host Loss% Snt Last Avg Best Wrst StDev 1. ??? 2. 192.X.X.20 0.0% 7 13.1 5.6 2.1 14.7 5.7 3. 111.X.X.41 0.0% 7 3.0 99.2 2.7 632.1 235.4 4. 111.X.X.197 0.0% 7 1.8 2.0 1.2 2.9 0.6 5. 211.X.X.25 0.0% 6 0.9 4.7 0.9 13.9 5.8 6. 211.X.X.70 0.0% 6 1.8 22.8 1.8 50.8 23.6 211.X.X.134 211.X.X.2 211.X.X.66 7. 42.X.X.186 0.0% 6 1.4 1.6 1.3 1.8 0.2 42.X.X.198 8. 42.X.X.246 0.0% 6 2.8 2.9 2.6 3.2 0.2 42.X.X.242 9. ??? 10. 223.5.5.5 0.0% 6 2.7 2.7 2.5 3.2 0.3 常见可选参数说明 -r或--report：以报告模式显示输出。 -p或--split：将每次追踪的结果分别列出来，而非--report统计整个结果。 -s或--psize：指定ping数据包的大小。 -n或--no-dns：不对IP地址做域名反解析。 -a或--address：设置发送数据包的IP地址。用于主机有多个IP的情况。 -4：只使用IPv4协议。 -6：只使用IPv6协议。 在mtr运行过程中，您也可以输入相应字母来快速切换模式，各字母的含义如下。 ?或h：显示帮助菜单。 d：切换显示模式。 n：切换启用或禁用DNS域名解析。 u：切换使用ICMP或UDP数据包进行探测。 返回结果说明 默认配置下，返回结果中各数据列的说明如下。 第一列（Host）：节点IP地址和域名。按 n 键可切换显示。 第二列（Loss%）：节点丢包率。 第三列（Snt）：每秒发送数据包数。默认值是10，可以通过“-c”参数指定。 第四列（Last）：最近一次的探测延迟。 第五、六、七列（Avg、Best、Worst）：分别是探测延迟的平均值、最小值和最大值。 第八列（StDev）：标准偏差。越大说明相应节点越不稳定。 traceroute命令行工具 traceroute是几乎所有Linux发行版本预装的网络测试工具，用于跟踪Internet 协议（IP）数据包传送到目标地址时经过的路径。traceroute先发送最大存活时间值（Max_TTL）的UDP探测数据包，然后侦听从网关开始的整个链路上的ICMP TIME_EXCEEDED响应。探测从TTL=1开始，TTL值逐步增加，直至接收到ICMP PORT_UNREACHABLE消息。ICMP PORT_UNREACHABLE消息用于标识目标主机已经被定位，或命令已经达到允许跟踪的最大TTL值。traceroute默认发送UDP数据包进行链路探测。可以通过“-I”参数来指定发送ICMP数据包用于探测。 用法说明 traceroute [-I] [ -m Max_ttl ] [ -n ] [ -p Port ] [ -q Nqueries ] [ -r ] [ -s SRC_Addr ] [ -t TypeOfService ] [ -f flow ] [ -v ] [ -w WaitTime ] Host [ PacketSize ] 示例输出 [root@centos ~]# traceroute -I 223.5.5.5 traceroute to 223.5.5.5 (223.5.5.5), 30 hops max, 60 byte packets 1 * * * 2 192.X.X.20 (192.X.X.20) 3.965 ms 4.252 ms 4.531 ms 3 111.X.X.41 (111.X.X.41) 6.109 ms 6.574 ms 6.996 ms 4 111.X.X.197 (111.X.X.197) 2.407 ms 2.451 ms 2.533 ms 5 211.X.X.25 (211.X.X.25) 1.321 ms 1.285 ms 1.304 ms 6 211.X.X.70 (211.X.X.70) 2.417 ms 211.138.114.66 (211.X.X.66) 1.857 ms 211.X.X.70 (211.X.X.70) 2.002 ms 7 42.X.X.194 (42.X.X.194) 2.570 ms 2.536 ms 42.X.X.186 (42.X.X.186) 1.585 ms 8 42.X.X.246 (42.X.X.246) 2.706 ms 2.666 ms 2.437 ms 9 * * * 10 public1.alidns.com (223.5.5.5) 2.817 ms 2.676 ms 2.401 ms 常见可选参数说明 -d：使用Socket层级的排错功能。 -f：设置第一个检测数据包的存活数值TTL的大小。 -F：设置不要分段标识。 -g：设置来源路由网关，最多可设置8个。 -i：使用指定的网卡送出数据包。用于主机有多个网卡时。 -I：使用ICMP数据包替代UDP数据包进行探测。 -m：设置检测数据包的最大存活数值TTL的大小。 -n：直接使用IP地址而非主机名称（禁用DNS反查）。 -p：设置UDP传输协议的通信端口。 -r：忽略普通的Routing Table，直接将数据包送到远端主机上。 -s：设置本地主机送出数据包的IP地址。 -t：设置检测数据包的TOS数值。 -v：详细显示指令的执行过程。 -w：设置等待远端主机回包时间。 -x：开启或关闭数据包的正确性检验。 分析链路测试结果 以如下链路测试结果示例图为基础进行阐述。 判断各区域是否存在异常，并根据各区域的情况分别处理。 区域A：客户端本地网络，即本地局域网和本地网络提供商网络。针对该区域异常，客户端本地网络相关节点问题，请对本地网络进行排查分析。本地网络提供商网络相关节点问题，请向当地运营商反馈。 区域B：运营商骨干网络。针对该区域异常，可根据异常节点IP查询归属运营商，然后直接或通过阿里云售后技术支持，向相应运营商反馈问题。 区域C：目标服务器本地网络，即目标主机归属网络提供商网络。针对该区域异常，需要向目标主机归属网络提供商反馈问题。 结合Avg（平均值）和StDev（标准偏差），判断各节点是否存在异常。 若StDev很高，则同步观察相应节点的Best和Worst，来判断相应节点是否存在异常。 若StDev不高，则通过Avg来判断相应节点是否存在异常。 注意：上述StDev高或者不高，并没有具体的时间范围标准。而需要根据同一节点其它列的延迟值大小来进行相对评估。比如，如果Avg为30ms，那么，当StDev为25ms，则认为是很高的偏差。而如果Avg为325ms，则同样的StDev为25ms，反而认为是不高的偏差。 查看节点丢包率，若“Loss%”不为零，则说明这一跳路由的网络可能存在问题。导致节点丢包的原因通常有两种。 人为限制了节点的ICMP发送速率，导致丢包。 节点确实存在异常，导致丢包。 确定当前异常节点的丢包原因。 若随后节点均没有丢包，说明当前节点丢包是由于运营商策略限制所致，可以忽略。如前文链路测试结果示例图中的第2跳路由的网络所示。 若随后节点也出现丢包，说明当前节点存在网络异常，导致丢包。如前文链路测试结果示例图中的第5跳路由的网络所示。 说明：前述两种情况可能同时发生，即相应节点既存在策略限速，又存在网络异常。对于这种情况，若当前节点及其后续节点连续出现丢包，而且各节点的丢包率不同，则通常以最后几跳路由的网络的丢包率为准。如前文链路测试结果示例图所示，在第5、6、7跳路由的网络均出现了丢包。所以，最终丢包情况，以第7跳路由的网络的40%作为参考。 通过查看是否有明显的延迟，来确认节点是否存在异常。通过如下两个方面进行分析。 若某一跳路由的网络之后延迟明显陡增，则通常判断该节点存在网络异常。如前文链路测试结果示例图所示，从第5跳路由的网络之后的后续节点延迟明显陡增，则推断是第5跳路由的网络节点出现了网络异常。 注：高延迟并不一定完全意味着相应节点存在异常，延迟大也有可能是在数据回包链路中引发的，建议结合反向链路测试一并分析。 ICMP策略限速也可能会导致相应节点的延迟陡增，但后续节点通常会恢复正常。如前文链路测试结果示例图所示，第3跳路由的网络有100%的丢包率，同时延迟也明显陡增。但随后节点的延迟马上恢复了正常。所以判断该节点的延迟陡增及丢包是由于策略限速所致。 操作建议 若数据包在目标地址出现了100%的丢包，建议对目标服务器的安全策略配置进行排查。 若数据包出现循环跳转，导致无法到达目标服务器，建议联系相应节点归属运营商处理。 若数据包在跳转后无法收到任何反馈，建议结合反向链路测试做进一步确认，并联系相应节点归属运营商进行处理。 阿里云中国内地机房和其他国家或地区机房有网络通信的专线，为降低通信时候的丢包率，推荐使用高速通道。 若主机掉包和延迟非常高，建议做mtr双向测试，即本地到服务器的和服务器到本地的测试。无法远程登录时，请通过管理终端进行登录。

详细解答可以参考官方帮助文档 什么是黑洞？黑洞是指服务器受攻击流量超过本机房黑洞阈值时，阿里云屏蔽服务器的外网访问。当服务器进入黑洞一段时间后，如果系统监控到攻击流量停止，黑洞会自动解封。由于黑洞是阿里云向运营商购买的服务，而运营商对黑洞解除时间和频率都有严格的限制，所以黑洞状态无法人工解除，需耐心等待系统自动解封。 为什么阿里云会有黑洞策略？为什么不能直接帮用户免费无限扛攻击？DDoS 攻击不仅影响受害者，也会对整个云网络造成严重影响。而且 DDoS 防御需要成本，其中最大的成本就是带宽费用。带宽是阿里云向电信、联通、移动等运营商购买，运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉，而是直接收取阿里云的带宽费用。阿里云云盾在控制成本的情况下会尽量为阿里云用户免费防御 DDoS 攻击，但是当攻击流量超出阈值时，阿里云会屏蔽被攻击 IP 的流量。 如何查看黑洞阈值和黑洞解除时间？免费加入安全信誉联盟，即可方便查看黑洞阈值和黑洞解除时间。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如何提升黑洞阈值？免费加入安全信誉联盟，安全信誉联盟将综合多方面因素考量并计算动态黑洞阈值。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如果加入安全信誉仍然不能满足要求该怎么办？您可购买DDoS高防IP服务，轻松解决DDoS流量攻击困扰，保障服务器的正常运行。 安全信誉提升阈值和购买高防提升防护量的区别？安全信誉联盟主要帮助信誉好的用户提升首次被攻击的防护量，且黑洞阈值会随着信誉分变化而调整，不承诺固定的防护量。高防IP服务用于帮助用户防护DDoS攻击，明确承诺防护量和防御效果。 各地域的黑洞触发阈值云盾基础版各地域DDoS基础防护功能默认黑洞触发阈值如下（单位 bps）：注意： 该触发阈值适用于阿里云 ECS、SLB、VPC、WAF等产品。 地区 1核CPU的经典网络ECS 2核CPU的经典网络ECS 4核以上CPU的经典网络ECS SLB,VPC,WAF等 华东 1 500M 1G 5G 5G 华东 2 500M 1G 2G 2G 华北 1 500M 1G 5G 5G 华北 2 500M 1G 2G 2G 华北 3 500M 1G 2G 2G 华北 5 500M 1G 2G 2G 华南 1 500M 1G 2G 2G 香港 500M 500M 500M 500M 美西1 500M 1G 2G 2G 美东1 500M 500M 500M 500M 东京 500M 500M 500M 500M 新加坡 500M 500M 500M 500M 悉尼 500M 500M 500M 500M 吉隆坡 500M 500M 500M 500M 孟买 500M 1G 1G 1G 法兰克福 500M 500M 500M 500M 迪拜 500M 500M 500M 500M 黑洞时长默认的黑洞时长是2.5小时，黑洞期间不支持解封。实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响： 攻击是否持续。如果攻击一直持续，黑洞时间会延长，黑洞时间从延长时刻开始重新计算。 攻击是否频繁，如果某用户是首次被攻击，黑洞时间会自动缩短；反之，频繁被攻击的用户被持续攻击的概率较大，黑洞时间会自动延长。注意： 针对个别黑洞过于频繁的用户，阿里云保留延长黑洞时长和降低黑洞阈值的权利，具体黑洞阈值和黑洞时长以控制台显示为准。如果有疑问，请联系售后技术支持。

详细解答可以参考官方帮助文档 什么是黑洞？黑洞是指服务器受攻击流量超过本机房黑洞阈值时，阿里云屏蔽服务器的外网访问。当服务器进入黑洞一段时间后，如果系统监控到攻击流量停止，黑洞会自动解封。由于黑洞是阿里云向运营商购买的服务，而运营商对黑洞解除时间和频率都有严格的限制，所以黑洞状态无法人工解除，需耐心等待系统自动解封。 为什么阿里云会有黑洞策略？为什么不能直接帮用户免费无限扛攻击？DDoS 攻击不仅影响受害者，也会对整个云网络造成严重影响。而且 DDoS 防御需要成本，其中最大的成本就是带宽费用。带宽是阿里云向电信、联通、移动等运营商购买，运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉，而是直接收取阿里云的带宽费用。阿里云云盾在控制成本的情况下会尽量为阿里云用户免费防御 DDoS 攻击，但是当攻击流量超出阈值时，阿里云会屏蔽被攻击 IP 的流量。 如何查看黑洞阈值和黑洞解除时间？免费加入安全信誉联盟，即可方便查看黑洞阈值和黑洞解除时间。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如何提升黑洞阈值？免费加入安全信誉联盟，安全信誉联盟将综合多方面因素考量并计算动态黑洞阈值。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如果加入安全信誉仍然不能满足要求该怎么办？您可购买DDoS高防IP服务，轻松解决DDoS流量攻击困扰，保障服务器的正常运行。 安全信誉提升阈值和购买高防提升防护量的区别？安全信誉联盟主要帮助信誉好的用户提升首次被攻击的防护量，且黑洞阈值会随着信誉分变化而调整，不承诺固定的防护量。高防IP服务用于帮助用户防护DDoS攻击，明确承诺防护量和防御效果。 各地域的黑洞触发阈值云盾基础版各地域DDoS基础防护功能默认黑洞触发阈值如下（单位 bps）：注意： 该触发阈值适用于阿里云 ECS、SLB、VPC、WAF等产品。 地区 1核CPU的经典网络ECS 2核CPU的经典网络ECS 4核以上CPU的经典网络ECS SLB,VPC,WAF等 华东 1 500M 1G 5G 5G 华东 2 500M 1G 2G 2G 华北 1 500M 1G 5G 5G 华北 2 500M 1G 2G 2G 华北 3 500M 1G 2G 2G 华北 5 500M 1G 2G 2G 华南 1 500M 1G 2G 2G 香港 500M 500M 500M 500M 美西1 500M 1G 2G 2G 美东1 500M 500M 500M 500M 东京 500M 500M 500M 500M 新加坡 500M 500M 500M 500M 悉尼 500M 500M 500M 500M 吉隆坡 500M 500M 500M 500M 孟买 500M 1G 1G 1G 法兰克福 500M 500M 500M 500M 迪拜 500M 500M 500M 500M 黑洞时长默认的黑洞时长是2.5小时，黑洞期间不支持解封。实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响： 攻击是否持续。如果攻击一直持续，黑洞时间会延长，黑洞时间从延长时刻开始重新计算。 攻击是否频繁，如果某用户是首次被攻击，黑洞时间会自动缩短；反之，频繁被攻击的用户被持续攻击的概率较大，黑洞时间会自动延长。注意： 针对个别黑洞过于频繁的用户，阿里云保留延长黑洞时长和降低黑洞阈值的权利，具体黑洞阈值和黑洞时长以控制台显示为准。如果有疑问，请联系售后技术支持。

详细解答可以参考官方帮助文档 什么是黑洞？黑洞是指服务器受攻击流量超过本机房黑洞阈值时，阿里云屏蔽服务器的外网访问。当服务器进入黑洞一段时间后，如果系统监控到攻击流量停止，黑洞会自动解封。由于黑洞是阿里云向运营商购买的服务，而运营商对黑洞解除时间和频率都有严格的限制，所以黑洞状态无法人工解除，需耐心等待系统自动解封。 为什么阿里云会有黑洞策略？为什么不能直接帮用户免费无限扛攻击？DDoS 攻击不仅影响受害者，也会对整个云网络造成严重影响。而且 DDoS 防御需要成本，其中最大的成本就是带宽费用。带宽是阿里云向电信、联通、移动等运营商购买，运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉，而是直接收取阿里云的带宽费用。阿里云云盾在控制成本的情况下会尽量为阿里云用户免费防御 DDoS 攻击，但是当攻击流量超出阈值时，阿里云会屏蔽被攻击 IP 的流量。 如何查看黑洞阈值和黑洞解除时间？免费加入安全信誉联盟，即可方便查看黑洞阈值和黑洞解除时间。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如何提升黑洞阈值？免费加入安全信誉联盟，安全信誉联盟将综合多方面因素考量并计算动态黑洞阈值。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如果加入安全信誉仍然不能满足要求该怎么办？您可购买DDoS高防IP服务，轻松解决DDoS流量攻击困扰，保障服务器的正常运行。 安全信誉提升阈值和购买高防提升防护量的区别？安全信誉联盟主要帮助信誉好的用户提升首次被攻击的防护量，且黑洞阈值会随着信誉分变化而调整，不承诺固定的防护量。高防IP服务用于帮助用户防护DDoS攻击，明确承诺防护量和防御效果。 各地域的黑洞触发阈值云盾基础版各地域DDoS基础防护功能默认黑洞触发阈值如下（单位 bps）：注意： 该触发阈值适用于阿里云 ECS、SLB、VPC、WAF等产品。 地区 1核CPU的经典网络ECS 2核CPU的经典网络ECS 4核以上CPU的经典网络ECS SLB,VPC,WAF等 华东 1 500M 1G 5G 5G 华东 2 500M 1G 2G 2G 华北 1 500M 1G 5G 5G 华北 2 500M 1G 2G 2G 华北 3 500M 1G 2G 2G 华北 5 500M 1G 2G 2G 华南 1 500M 1G 2G 2G 香港 500M 500M 500M 500M 美西1 500M 1G 2G 2G 美东1 500M 500M 500M 500M 东京 500M 500M 500M 500M 新加坡 500M 500M 500M 500M 悉尼 500M 500M 500M 500M 吉隆坡 500M 500M 500M 500M 孟买 500M 1G 1G 1G 法兰克福 500M 500M 500M 500M 迪拜 500M 500M 500M 500M 黑洞时长默认的黑洞时长是2.5小时，黑洞期间不支持解封。实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响： 攻击是否持续。如果攻击一直持续，黑洞时间会延长，黑洞时间从延长时刻开始重新计算。 攻击是否频繁，如果某用户是首次被攻击，黑洞时间会自动缩短；反之，频繁被攻击的用户被持续攻击的概率较大，黑洞时间会自动延长。注意： 针对个别黑洞过于频繁的用户，阿里云保留延长黑洞时长和降低黑洞阈值的权利，具体黑洞阈值和黑洞时长以控制台显示为准。如果有疑问，请联系售后技术支持。

详细解答可以参考官方帮助文档 什么是黑洞？黑洞是指服务器受攻击流量超过本机房黑洞阈值时，阿里云屏蔽服务器的外网访问。当服务器进入黑洞一段时间后，如果系统监控到攻击流量停止，黑洞会自动解封。由于黑洞是阿里云向运营商购买的服务，而运营商对黑洞解除时间和频率都有严格的限制，所以黑洞状态无法人工解除，需耐心等待系统自动解封。 为什么阿里云会有黑洞策略？为什么不能直接帮用户免费无限扛攻击？DDoS 攻击不仅影响受害者，也会对整个云网络造成严重影响。而且 DDoS 防御需要成本，其中最大的成本就是带宽费用。带宽是阿里云向电信、联通、移动等运营商购买，运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉，而是直接收取阿里云的带宽费用。阿里云云盾在控制成本的情况下会尽量为阿里云用户免费防御 DDoS 攻击，但是当攻击流量超出阈值时，阿里云会屏蔽被攻击 IP 的流量。 如何查看黑洞阈值和黑洞解除时间？免费加入安全信誉联盟，即可方便查看黑洞阈值和黑洞解除时间。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如何提升黑洞阈值？免费加入安全信誉联盟，安全信誉联盟将综合多方面因素考量并计算动态黑洞阈值。定位到 管理控制台 > （安全）云盾 > DDoS防护 > 基础防护，在安全信誉防护联盟区域，阅读并勾选安全信誉防护联盟规则，加入安全信誉联盟。 如果加入安全信誉仍然不能满足要求该怎么办？您可购买DDoS高防IP服务，轻松解决DDoS流量攻击困扰，保障服务器的正常运行。 安全信誉提升阈值和购买高防提升防护量的区别？安全信誉联盟主要帮助信誉好的用户提升首次被攻击的防护量，且黑洞阈值会随着信誉分变化而调整，不承诺固定的防护量。高防IP服务用于帮助用户防护DDoS攻击，明确承诺防护量和防御效果。 各地域的黑洞触发阈值云盾基础版各地域DDoS基础防护功能默认黑洞触发阈值如下（单位 bps）：注意： 该触发阈值适用于阿里云 ECS、SLB、VPC、WAF等产品。 地区 1核CPU的经典网络ECS 2核CPU的经典网络ECS 4核以上CPU的经典网络ECS SLB,VPC,WAF等 华东 1 500M 1G 5G 5G 华东 2 500M 1G 2G 2G 华北 1 500M 1G 5G 5G 华北 2 500M 1G 2G 2G 华北 3 500M 1G 2G 2G 华北 5 500M 1G 2G 2G 华南 1 500M 1G 2G 2G 香港 500M 500M 500M 500M 美西1 500M 1G 2G 2G 美东1 500M 500M 500M 500M 东京 500M 500M 500M 500M 新加坡 500M 500M 500M 500M 悉尼 500M 500M 500M 500M 吉隆坡 500M 500M 500M 500M 孟买 500M 1G 1G 1G 法兰克福 500M 500M 500M 500M 迪拜 500M 500M 500M 500M 黑洞时长默认的黑洞时长是2.5小时，黑洞期间不支持解封。实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响： 攻击是否持续。如果攻击一直持续，黑洞时间会延长，黑洞时间从延长时刻开始重新计算。 攻击是否频繁，如果某用户是首次被攻击，黑洞时间会自动缩短；反之，频繁被攻击的用户被持续攻击的概率较大，黑洞时间会自动延长。注意： 针对个别黑洞过于频繁的用户，阿里云保留延长黑洞时长和降低黑洞阈值的权利，具体黑洞阈值和黑洞时长以控制台显示为准。如果有疑问，请联系售后技术支持。