一、弹性云服务器
定义：
资源完全弹性可调、支持随时升降配、按需计费的通用型云服务器。
CPU、内存、硬盘、带宽可独立升级 / 降级
支持按量付费、包年包月、弹性伸缩
功能完整：VPC、快照、安全组、多 IP、负载均衡等
特点：
灵活：配置自由组合、随时扩容缩容
稳定：高可用架构、数据多副本、故障自动迁移
通用：适合几乎所有场景
适用场景：
企业官网、Web 应用、小程序、APP 后端、数据库、开发测试、业务波动大的项目。

二、套餐云服务器
定义：
CPU、内存、硬盘、带宽、流量打包固定的套餐式云服务器。
配置固定，不能单独升级某一项（要升级只能换更高套餐）
价格更低、管理简单、一键开通
特点：
简单：开箱即用、价格透明
便宜：比弹性 ECS 同配置更低价
限制：配置不可拆分升级
适用场景：
个人博客、小型网站、低负载应用、预算有限、长期稳定的业务。

三、高频云服务器
定义：
使用高主频 CPU（如：R9-9950X或I9-14900K）、低延迟、高性能优化的云服务器。
CPU 单核性能极强、响应更快、延迟更低
适合单核敏感、高实时性任务
特点：
高主频：CPU 基频 ≥3.0GHz，全核睿频更高
低延迟：IO、网络深度优化
强单核：数据库、游戏、编译、高频交易极快
适用场景：
数据库（MySQL、PostgreSQL、Redis）
游戏服务器、高实时 Web
金融交易、量化程序
代码编译、数据分析、高性能计算

四、不限流量云服务器
定义：
每月总流量无上限，但带宽有固定峰值（如 5M/10M/100M）。
速度被带宽封顶，当出现资源争抢时，带宽峰值可能会受到限制。不适合应用于对公网质量有强保障诉求的场景
价格按带宽大小计费
特点：
无流量超支风险
成本可预估、不怕突发大流量
但速度受带宽峰值限制
适用场景：
下载站、视频站、直播、大文件传输
流量波动大、月流量高的网站
长期高带宽消耗业务

五、流量类型云服务器
定义：
套餐包含固定流量额度（如 1TB / 月、5TB / 月），带宽通常较高。
带宽高（常见 100M～1Gbps）
流量用完后：限速 / 停机 / 额外付费
特点：
带宽大、短时速度快
月流量有限，超量要加钱或被限制
适合流量低但需要高带宽突发的场景
适用场景：
短期活动、推广页、临时项目
低流量但偶尔高并发
测试环境、个人小站、预算敏感

六、五类云服务器核心区别

1. 弹性 vs 套餐（灵活性）
   弹性云：配置可单独升级（CPU / 内存 / 硬盘 / 带宽）、弹性伸缩、功能全
   套餐云：固定打包、不能单独升级、价格低、简单易用
2. 高频 vs 普通（性能）
   高频云：高主频 CPU、单核强、延迟低、适合数据库 / 游戏 / 高频计算
   普通云：通用 CPU、均衡性价比、适合大多数 Web / 应用
3. 不限流量 vs 流量型（网络计费）
   不限流量：流量无限、带宽封顶、价格按带宽、不怕超量
   流量型：带宽高、流量有限、超量收费 / 限速、适合低流量高带宽

七、美得云一句话选型建议
要灵活可扩、企业级 → 选 弹性云服务器
要便宜简单、固定用途 → 选 套餐云服务器
要速度快、数据库 / 游戏 → 选 高频云服务器
要大流量、下载 / 视频 / 不怕超 → 选 不限流量云服务器
要高带宽、低流量、预算省 → 选 流量类型云服务器

联系我们

工作原理
所有进出ECS实例的网络流量均先经安全组过滤，再由操作系统防火墙处理。在同时满足安全组和系统防火墙的放行策略后，才能到达目标应用。

安全组（云网络层）

作用： 安全组在ECS的使用中扮演了云上虚拟防火墙的角色，用于控制实例的出入方向流量。它在操作系统之外，是访问实例的第一道关卡。

逻辑： 无论实例内部防火墙如何配置，如果安全组未放行某个端口（如 SSH 的 22 端口），所有来自外部的访问请求都会在该层被直接拒绝。

操作系统防火墙（实例层）

作用： 运行在 Linux 操作系统内部的防火墙软件，默认关闭，如 firewalld 或 ufw。它负责对通过了安全组的流量进行进一步的精细化控制。

逻辑： 流量必须先通过安全组，才能到达操作系统防火墙。两者是“与”关系，必须同时允许，流量才能最终到达部署的应用程序。

操作指南
查看防火墙状态
在进行任何修改前，首先确认防火墙的当前运行状态。

Alibaba Cloud Linux / CentOS / Red Hat
执行以下命令查看 firewalld 服务的状态。

sudo firewall-cmd --state
not running：表示防火墙已关闭。

running：表示防火墙处于启用状态。

若提示 command not found，说明 firewalld 未安装。可执行 sudo yum install firewalld -y 或 sudo dnf install firewalld -y 进行安装。

Ubuntu / Debian
执行以下命令查看 ufw 服务的状态。

sudo ufw status
Status: active：表示防火墙处于启用状态。

Status: inactive：表示防火墙已关闭。

在 Debian 系统上，若提示 command not found，说明 ufw 未安装。推荐执行 sudo apt update && sudo apt install ufw -y 进行安装，以获得更安全、便捷的管理体验。

启用防火墙
重要

切勿在未配置允许规则前直接启用防火墙，会导致连接被切断，造成实例“失联”。请遵循“先放行，后启用”的原则。

Alibaba Cloud Linux / CentOS / Red Hat
将 SSH 服务永久性地添加到允许列表中，确保远程管理通道不会中断。

sudo firewall-cmd --permanent --add-service=ssh
重新加载防火墙规则，使上一步的配置生效。

sudo firewall-cmd --reload
启动防火墙服务。

sudo systemctl start firewalld
（可选）： 将防火墙设置为开机自启动，确保重启后防护依然有效。

sudo systemctl enable firewalld
Ubuntu / Debian
添加规则以允许所有 SSH 连接。

sudo ufw allow ssh
启用防火墙。ufw 在启用时会自动加载已有的 allow 规则，并默认设置为开机自启动。

sudo ufw enable
执行此命令时，系统会提示操作可能中断现有连接，输入 y 确认即可。由于已提前放行 SSH，连接不会中断。

开放指定端口或服务
Alibaba Cloud Linux / CentOS / Red Hat
开放指定端口或者服务：

按服务名开放（推荐）：

永久开放 HTTP 和 HTTPS 服务

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
按端口号开放：

永久开放 8080/TCP 端口

sudo firewall-cmd --permanent --add-port=8080/tcp
使新规则生效： 添加或删除规则后，必须重新加载防火墙。

sudo firewall-cmd --reload
验证规则是否生效：

该命令可查看当前活动区域下的所有规则，包括服务、端口、协议等。

sudo firewall-cmd --list-all
Ubuntu / Debian
使用ufw添加防火墙规则后即时生效，并自动持久化。

开放指定端口或者服务：

按服务名开放（推荐）：

开放 HTTP 和 HTTPS 服务

sudo ufw allow http
sudo ufw allow https
按端口号开放：

开放 3306/TCP 端口

sudo ufw allow 3306/tcp
验证规则是否已生效：

执行以下命令查看已启用的规则，包括允许和拒绝的服务、端口及其状态（active/inactive）。

sudo ufw status
关闭防火墙
在诊断网络连接问题时，可以临时关闭防火墙以判断是否为其实例内部的阻断策略所致。

重要

不建议在生产环境关闭防火墙，在测试完成或问题定位后应重新启用防火墙。

CentOS / Red Hat / Alibaba Cloud Linux

sudo systemctl stop firewalld
Ubuntu / Debian

sudo ufw disable
应用于生产环境
最佳实践

最小权限原则： 仅开放业务所必需的端口。对于数据库等核心服务，应仅对授信的内网 IP 开放，避免暴露于公网。

备用通道： 在进行重大的防火墙规则变更前，建议先远程连接到实例，已建立连接的会话即使在防火墙规则变更之后依旧保持，可以通过此备用通道修复问题。

风险防范

日志与监控： 定期审计防火墙日志，以发现异常访问。

firewalld: 日志通常由 journald 管理，使用 sudo journalctl -u firewalld 查看。

ufw: 日志通常位于 /var/log/ufw.log。

常见问题
关闭了实例内的防火墙，为什么服务还是无法访问？
原因通常在于忽略了云环境下的第一层防护。请按以下顺序排查：

检查安全组： 这是首要排查点。登录控制面板-安全组，检查实例所属的安全组，确认入方向规则已放行公网 IP 地址和端口。

检查服务监听状态： 在实例内部执行 ss -tunlp | grep <端口号> 或 netstat -tunlp | grep <端口号>，确认应用程序是否已成功启动并在预期的 IP 地址（如 0.0.0.0）和端口上监听。

检查服务状态： 检查服务是否正常运行，启动后是否因为异常报错导致程序运行中止。

执行 firewall-cmd 或 ufw 命令时提示 command not found 怎么办？
这表示对应的防火墙管理工具未安装。

在 CentOS/Red Hat/Alibaba Cloud Linux 上，执行 sudo yum install firewalld -y 或 sudo dnf install firewalld -y。

在 Ubuntu/Debian 上，执行 sudo apt update && sudo apt install ufw -y

注意事项
扩容文件系统操作不慎可能影响已有数据，因此强烈建议您在操作前手动创建快照或者创建备份来备份数据

扩容文件系统需要重启实例 ，将导致一定时间的业务中断，建议您选择合适的时间谨慎操作。

已经通过控制面板扩容磁盘，且该磁盘已经通过控制面板挂载到了云服务器

自动将所有剩余空间都扩容

操作步骤
查看云磁盘分区情况

fdisk -l
结果如下：

可以从图看出：

/dev/vda 数据盘磁盘容量为21.5GB，包含/dev/vda1分区

/dev/vdb 数据盘磁盘容量为53.7GB，包含/dev/vdb1分区

确认已有分区的文件系统类型

df -TH
结果如下：

可以从图看出：

/dev/vda1 分区容量为22G，文件系统类型为xfs，已挂载至/

/dev/vdb1 分区容量为32G，文件系统类型为ext4，已挂载至/www

扩容分区表
执行以下命令，使用growpart工具扩容分区
本文以扩容/dev/vdb1 分区为例，命令中/dev/vdb 与1之间需要使用空格分隔

growpart /dev/vdb 1
返回结果如下，表示分区扩容成功

扩容文件系统
1、根据上文步骤2获取到的文件系统类型，执行对应的命令扩容文件系统：

(1) ext文件系统: resize2fs /dev/vdb1

(2) xfs文件系统: xfs_growfs /dev/vda1

返回结果如下：

查看扩容结果

df -TH
返回结果如下，则表示已扩容成功（/dev/vdb1分区由32G扩容至53G

重启系统

reboot
扩容完成后检查
扩容完成后，检查数据完整型，观察服务器中业务是否正常运行；如果有异常，可以使用回滚快照或者还原备的方式进行数据恢复

文档编号 IT-NET-OPS-2024-001
主题 跨网互联延迟、丢包及 QoS 策略分析
适用人群 家庭宽带用户、游戏玩家、NAS/私有云部署者
关键词 跨网结算、互联互通、QoS 流控、UDP 丢包、BGP
一、 背景陈述：宽带“极速”下的体验悖论
在当前的宽带网络环境中，用户普遍面临一个令人困惑的“悖论”：

注

现象描述：
很多用户办理了 500M 甚至 1000M 的光纤宽带，下载电影飞快，Speedtest 测速也达标。然而，一旦进行跨运营商访问（例如：电信宽带用户连接移动宽带架设的服务器，或者联通用户玩电信区的游戏），网络质量会瞬间“爆炸”：延迟飙升、频繁丢包、语音卡顿甚至断连。

这种“物理距离明明很近（同城），网络距离却仿佛隔了半个地球”的现象，被业内戏称为 “跨网爆炸” 。本文将从网络架构与运营商策略角度，为您深度解析这一现象。

二、 核心故障机理分析（小白科普版）
为了让非技术背景的用户理解，我们将复杂的网络概念转化为生活场景。

1. 互联互通瓶颈：网络世界的“省界收费站”
   专业解释： 中国电信、中国联通、中国移动是三张独立的网络。它们之间的数据交换必须通过特定的 “互联互通节点” （IXP/NAP）。由于运营商之间存在复杂的网间结算费用（流量费），且出于商业竞争壁垒，这些互联节点的带宽往往远小于各家运营商内部的骨干网带宽。
   通俗比喻：
   运营商内部网络就像是拥有 10 车道的超级高速公路，你在电信内部跑，一路畅通。
   跨网互联节点就像是连接电信高速和移动高速之间的 “独木桥”或“只有 1 个车道的收费站” 。
   结果： 到了晚上 8 点（晚高峰），成千上万的车都要通过这个独木桥，自然会发生严重的拥堵（高延迟）和撞车（丢包）。
2. QoS 策略与 UDP 降级：不仅堵车，还区别对待
   专业解释： 为了防止互联节点彻底瘫痪，运营商会在路由器上部署 QoS（服务质量） 策略。由于 TCP 协议（用于网页、视频）具有拥塞控制机制，而 UDP 协议（用于游戏、语音、P2P 下载）通常更加“激进”，运营商在网络拥堵时，会优先保证 TCP 流量，无情丢弃 UDP 数据包。
   通俗比喻：
   TCP 流量是满载货物的正规物流卡车，运营商视其为 VIP，优先放行。
   UDP 流量（游戏数据）被视为摩托车队。
   策略： 当收费站堵车时，交警（运营商路由策略）的指令是：“路不够用了，先把骑摩托车的赶出去，让卡车先走！”
   后果： 你的游戏人物瞬移、回档，就是因为你的数据包作为“摩托车”被强制丢弃了。
3. 路由迂回：明明在同城，却绕去省会
   专业解释： 受限于物理光缆走向和 BGP 路由策略，跨网流量往往不是点对点直达，而是需要汇聚到高层级的核心节点进行交换。
   通俗比喻：
   你想去隔壁小区（电信访问移动），但因为两家物业不通门，你必须先坐车去市中心的交通枢纽（省骨干网节点），转一圈后再坐车回隔壁小区。这多出来的路程，就是物理延迟增加的原因。
   三、 常见误区澄清
   在处理网络问题时，用户常持有以下错误认知，需予以纠正：

误区 真相
“我有公网 IP，跨网肯定快” 错误。 公网 IP 就像你家门牌号，方便别人找到你，但不能解决来你家路上的“堵车”问题。
“升级到 2000M 宽带就能解决” 错误。 提升的是你家到小区的接入速度（家门口路修宽了），但跨网互联节点（高速收费站）依然拥堵。
“上传带宽大，网络就好” 不一定。 家用宽带的上传通常没有 QoS 保证，一旦触发运营商的风控机制，会被进一步限速。
四、 解决方案与优化建议
针对“跨网爆炸”问题，单纯投诉运营商通常收效甚微（因为这是架构性问题）。建议根据您的角色采取以下技术手段：

1. 对于普通用户（游戏/日常使用）
   使用应用层加速器（最为推荐）：
   原理： 游戏加速器厂商购买了昂贵的专线带宽。开启加速器后，你的数据不再走拥堵的公共互联节点，而是进入了加速器的“VIP 专用车道”，直达游戏服务器。
   适用场景： 跨服玩游戏、跨国连接。
2. 对于极客与服务部署者（NAS/私有云）
   方案 A：引入 BGP 中转（核心大招）

原理： 购买一台拥有 BGP（边界网关协议） 线路的云服务器（VPS）。BGP 线路就像是拥有“智能导航”和“多地牌照”的车辆，它可以同时连接电信、联通、移动，并自动选择最近、最快的线路进行回程。
操作： 用户 -> BGP 中转服务器 -> 家中 NAS。
效果： 彻底打通跨网瓶颈，实现全网低延迟访问。
方案 B：多线接入与策略路由

原理： 如果条件允许，家中同时拉两条宽带（如一条电信、一条移动）。
操作： 在软路由（OpenWrt/RouterOS）上配置策略：电信访客走电信出口，移动访客走移动出口。
效果： “各回各家，各找各妈”，完全避开跨网互联节点。
方案 C：尝试 IPv6

原理： 目前国内 IPv6 的互联互通节点利用率相对较低，路由策略与 IPv4 不同。在某些地区，IPv6 的跨网体验可能优于拥堵不堪的 IPv4。
五、 总结与展望
“跨网爆炸”是互联网发展过程中，流量爆发增长与网间结算机制滞后产生的必然矛盾。它并非单一用户的设备故障，而是宏观网络架构的常态化拥塞。

对于追求极致体验的用户而言，理解这一机制并放弃“死磕”运营商客服，转而利用BGP 中转、游戏加速器或多线接入等技术手段绕过拥堵节点，才是当前技术背景下最为经济、理性的解决之道。

单线云服务器运营商跨网限速问题知识普及

1.为什么会出现跨网限速问题
答案：每个省 三大运营商都需要有一个或两个点来进行交换。而并不是在同一个市，所以你查看路由会发现从电信到联通需要走互联点（一般为省会城市，浙江省为杭州+宁波两个）进行交换，这个互联点容量满了，堵死了，就会出现交换迟钝，丢包，类似163，169晚高峰

2.为什么以前没有跨网问题
答案：省公司2024年才开始进行跨省结算，打个比方nodeseek省跟hostloc省这个月上行95值10G，hostloc到nodeseek 上行9G，那么nodeseek省电信运营商就需要给hostloc的运营商1G的钱，以前运营商嘎嘎有钱的情况，这点钱运营商不在乎，现在运营商穷了（跟口罩有点关系），所以需要回血。

3.为什么跨省会影响到跨网
答案：PCDN有很多是运营商内部人违规（Py）拉出来的，合同大多为1年，低价带宽，如果B站等视频平台全部跑IDC带宽，10-12/M,就会大大增加了成本，从跨省结算开始，PCDN严重影响了部分地区与其他省份的结算，所以很多PCDN开始不跑本网，跑跨网，导致跨网容量塞满，堵塞严重，例如各位可以查看到B站的播放源，电信解析到移动，移动解析到联通，所以各位可以发现，大多数地区都是跨网问题严重，只有很少数地区，本网跨省拉不起来（移动这个QOS老油条除外）

4.如何解决跨网
答案：目前除了湖北地区以外，很多地区的跨网容量扩容（例如：蒙古/宁波）已经开始。不过解决跨网问题最大途径还是运营商查封PCDN，四川省扩容了几百G的容量，也就是几天就全部塞满，家宽包括类似香港带宽等，均不可能做到所谓真正独享，所有带宽也是经过一层层复用下来的，到机房机柜的带宽也都是复用的，所以说所谓的VPS独享带宽（VPS都是共享母鸡网络，还没有什么系统能做到母鸡多少带宽给每台小鸡固定分配独享带宽），什么单机防御集群防御（所有的防护都是机房大墙容量防护，不存在什么单机100G集群800G之说），全部都是诈骗，这些从这里也可以看出来，PCDN的很多合同预计明年结束，如果厂商整治的好，问题就可以大幅度解决。

5.拉跨联通运营商
答案：各位可以发现，电信到移动之间的互联一直都不是大问题，跨网的大问题一直在电信到联通，移动到联通身上，联通这个运营商，我相信各位也知道，联通素来网络最差，服务最差，机房管理也是一塌糊涂，进到机房经常能见到看门的老头老太，然后再也见不到技术了。笔者前日了解到，友商找到联通咨询合作业务时，给出的价格惊人，并且表示买不起就不谈，联通的机房（除了部分机房对外开放，给拉电信移动的网络入机房）很多都处于亏损空置状态，联通就是宁愿空置也不愿意接入客户的状态，联通这种企业，不是国企真的早就歇逼了，集团都处于养老状态，所以我强烈建议各位联通用户备一张电信移动的卡。
各位也可以发现，从电信到联通上行是可以跑起来的，从联通到电信的上行是跑不动的，根据基础知识容量交换设备的上下行是对等的，说明是联通到电信的流量过大导致的问题，主要扩容还是要靠联通。
本文档基于网络工程实践整理，仅供技术参考。具体网络状况因地区和运营商策略而异。

先确认当前网卡名称和 IP：

ip addr
常见网卡名如：eth0、ens33、enp0s3 等。

修改前建议备份配置文件，方便回滚。

二、临时修改 IP（重启后失效，所有发行版通用）
提示

只临时测试新 IP，可使用此方法。

查看当前 IP：

ip addr show dev ens33
将 ens33 替换为实际网卡名。

删除旧 IP（示例：旧 IP 为 192.168.1.10/24）：

ip addr del 192.168.1.10/24 dev ens33
添加新 IP（示例：新 IP 为 192.168.1.20/24）：

ip addr add 192.168.1.20/24 dev ens33
如需设置默认网关（示例：网关 192.168.1.1）： 先删除旧网关（如有）：

ip route
ip route del default via 192.168.1.1
添加新网关：

ip route add default via 192.168.1.1
检查结果：

ip addr show dev ens33
ip route
ping -c 4 114.114.114.114
三、永久修改 IP（常见发行版）
3.1 CentOS 6/7（使用 ifcfg 配置文件）
配置文件路径：/etc/sysconfig/network-scripts/ifcfg-网卡名

确认网卡名：

ip addr
备份原配置：

cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens33.bak
将 ens33 换成实际网卡名。

编辑配置文件：

vi ifcfg-ens33
参考配置（静态 IP 示例）：

TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes

IPADDR=192.168.1.20
PREFIX=24
GATEWAY=192.168.1.1
DNS1=114.114.114.114
DNS2=8.8.8.8
说明：

IPADDR：新 IP
PREFIX：子网掩码位数（24 对应 255.255.255.0）
GATEWAY：默认网关
DNS1/DNS2：DNS 服务器
重启网络服务：

CentOS 7：

systemctl restart network
CentOS 6：

service network restart
检查：

ip addr show dev ens33
ip route
ping -c 4 114.114.114.114
ping -c 4 www.baidu.com
3.2 CentOS 8 / Rocky / AlmaLinux（使用 NetworkManager + nmcli）
查看连接名称（不是网卡名）：

nmcli connection show
记住对应的 NAME，如：System ens33 或 ens33。

查看当前配置：

nmcli connection show "ens33"
修改为静态 IP（示例：IP 192.168.1.20/24，网关 192.168.1.1）：

nmcli connection modify "ens33" ipv4.addresses 192.168.1.20/24
nmcli connection modify "ens33" ipv4.gateway 192.168.1.1
nmcli connection modify "ens33" ipv4.dns "114.114.114.114 8.8.8.8"
nmcli connection modify "ens33" ipv4.method manual
重新启用连接：

nmcli connection down "ens33"
nmcli connection up "ens33"
检查：

ip addr show dev ens33
ip route
ping -c 4 www.baidu.com
3.3 Ubuntu 18.04 及以上（使用 netplan）
配置文件路径：/etc/netplan/*.yaml

列出 netplan 文件：

ls /etc/netplan/
常见如：01-netcfg.yaml、50-cloud-init.yaml 等。

备份配置：

cd /etc/netplan/
cp 01-netcfg.yaml 01-netcfg.yaml.bak
编辑配置文件：

vi 01-netcfg.yaml
示例配置（静态 IP）：

network:
version: 2
renderer: networkd
ethernets:
ens33:
dhcp4: no
addresses:

• 192.168.1.20/24
  gateway4: 192.168.1.1
  nameservers:
  addresses: [114.114.114.114, 8.8.8.8]
  注意：

缩进必须使用空格，不能用 Tab。
ens33 替换为实际网卡名。
IP、网关、DNS 按实际情况修改。
应用配置：

netplan apply
检查：

ip addr show dev ens33
ip route
ping -c 4 114.114.114.114
ping -c 4 www.baidu.com
3.4 Ubuntu 16.04 / Debian（使用 /etc/network/interfaces）
备份配置文件：

cp /etc/network/interfaces /etc/network/interfaces.bak
编辑配置：

vi /etc/network/interfaces
示例配置（静态 IP）：

auto ens33
iface ens33 inet static
address 192.168.1.20
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 114.114.114.114 8.8.8.8
根据实际网卡名和 IP 修改。

重启网络服务：

systemctl restart networking
或

service networking restart
检查：

ip addr show dev ens33
ip route
ping -c 4 www.baidu.com
四、修改 IP 时的通用检查步骤
查看 IP 是否生效：

ip addr show dev ens33
查看路由和网关是否正确：

ip route
应存在类似：

default via 192.168.1.1 dev ens33
测试外网连通性：

ping -c 4 114.114.114.114
ping -c 4 www.baidu.com
如果是服务器，通过控制台（云厂商提供的 VNC/控制台）再次确认，以防 SSH 连接中断后无法登录。

五、常见问题与排查思路
修改 IP 后 SSH 断开且无法连接

检查：

新 IP 是否和服务器所在网段一致。
是否配置了正确的网关和掩码。
云服务器安全组、防火墙是否放通 22 端口。
能 ping 通网关，但不能访问外网

检查：

ip route 是否有默认路由 default via 网关。

DNS 是否配置正确，可尝试：

ping -c 4 8.8.8.8
能 ping IP 但不能 ping 域名，则问题在 DNS。

DNS 配置位置（部分系统）

常见文件：/etc/resolv.conf

示例内容：

nameserver 114.114.114.114
nameserver 8.8.8.8
子网掩码错误导致无法通信

典型示例：实际网段是 192.168.1.0/24，却配置为 255.255.0.0 或其它。
一般家用或中小企业局域网掩码为 255.255.255.0（即 /24）。
恢复到修改前状态

直接用之前的备份文件覆盖：

cp ifcfg-ens33.bak ifcfg-ens33

或

cp 01-netcfg.yaml.bak 01-netcfg.yaml

然后重启网络服务或 netplan apply

六、简要操作流程总结（记住这几个步骤）
确认网卡名：

ip addr
修改对应配置文件或使用 nmcli / netplan。

重启网络服务或应用配置：

CentOS：systemctl restart network 或 nmcli connection down/up
Ubuntu：netplan apply 或 systemctl restart networking
检查：

ip addr
ip route
ping -c 4 114.114.114.114
ping -c 4 www.baidu.com

CentOS 7+（主流）

systemctl restart network

若上述命令无效，重启NetworkManager

systemctl restart NetworkManager && systemctl enable NetworkManager
Ubuntu/Debian
bash
运行

通用重启命令

service network-manager restart

或重启网卡

ifdown eth0 && ifup eth0 # 网卡名多为eth0/ens33，可通过ip addr查看
验证网络恢复
bash
运行
ping 8.8.8.8 # 测试外网连通性
ip addr # 查看内网IP是否正常分配
方案 2：控制台硬重启服务器（网络重启无效时用，需重启系统）
若 VNC 执行网络重启后仍无网络，直接通过云服务器控制台操作（无需登录服务器）：
进入目标实例详情页，点击重启（优先选择「硬重启」，模拟物理机断电重启，云平台会自动重新配置网络参数）；
等待 3-5 分钟，服务器重启完成后，尝试 SSH 连接 + ping 外网，验证网络是否恢复。
弊端：系统重启会导致业务临时中断，建议非核心业务直接操作，核心业务尽量先尝试方案 1。
二、再查：排查 CPU 冲高根因（排除攻击，定位系统 / 业务问题）
网络恢复后，立即排查 CPU 突发过高的原因，避免再次出现问题，核心原则：仅 CPU 冲高→排除 CC 攻击；CPU + 内存 + 带宽同时冲高→判定 CC 攻击，分开处理。
第一步：先排除 CC 攻击（快速判定，避免误判）
CC 攻击的典型特征：CPU、内存、网络带宽（入站）同时瞬时飙升，且服务器的访问日志会出现大量异常请求（如单一 IP 高频访问、无意义接口请求）。
云平台查看监控：进入实例「监控面板」，查看 CPU、内存、带宽的实时 / 历史曲线，若三者同步冲高，直接按 CC 攻击处理；
仅 CPU 曲线单独冲高（内存 / 带宽无明显变化），直接跳过攻击处理，排查系统 / 业务内部问题。
若判定 CC 攻击：快速防护
开启云平台 CDN+Web 应用防火墙（WAF）：将域名解析到 CDN，WAF 中配置「CC 防护策略」（如限制单 IP 访问频率、拦截异常 User-Agent）；
临时屏蔽异常 IP：在云服务器「安全组」中，拒绝高频访问的异常 IP 段入站；
升级带宽：临时提升服务器公网带宽，避免带宽先被打满导致网络中断。
第二步：非攻击场景，排查 CPU 冲高的系统 / 业务原因
通过命令行排查占用 CPU 最高的进程、异常日志、定时任务，定位具体原因（以下命令均在 SSH/VNC 登录后执行）：

1. 查看实时 CPU 占用 TOP 进程（定位元凶）
   bash
   运行
2. 查看系统日志，定位异常信息
   CPU 冲高通常会在系统日志中留下痕迹（如进程崩溃、服务异常、资源耗尽），查看核心日志：
   bash
   运行
3. 排查定时任务 / 计划任务
   是否有定时脚本、备份任务、数据同步任务在 CPU 冲高时段执行，导致资源耗尽：
   bash
   运行
4. 排查业务程序问题
   若 CPU 高占用为业务进程（如 Java 的 tomcat、Python 的 uwsgi、PHP 的 fpm），需排查：
   程序是否出现死循环、无限递归、大量并发请求未释放；
   数据库是否慢查询过多（如未加索引的 SQL），导致业务进程阻塞占用 CPU；
   解决方案：优化业务代码、给数据库加索引、限制业务进程的最大并发数。
   三、后防：长期优化，避免 CPU 冲高再引发网络中断
5. 合理升级服务器配置（解决硬件资源不足）
   若为业务本身体量扩大，当前服务器配置（CPU / 内存）无法满足需求，直接升级配置：
   入门级：业务轻量但偶发冲高→升级 CPU 核数（如 1 核→2 核 / 4 核），增加内存；
   核心业务：CPU 频繁冲高→选择「计算型实例」（如阿里云 ECS 计算型 c7、腾讯云 CVM 计算型 S7），适配高 CPU 负载场景；
   避免低配跑高负载：如 1 核 2G 服务器运行高并发 Web 服务 + 数据库，极易引发资源耗尽。
6. 配置 CPU 资源限制（防止单进程占满 CPU）
   通过系统工具限制进程的 CPU 占用率，避免单个进程占满所有 CPU 核心，导致网络进程（如 network、sshd）无资源运行：
   bash
   运行
7. 开启云平台资源告警（提前预警，避免网络中断）
   在云服务器控制台配置CPU 资源告警，当 CPU 使用率达到阈值（如 80%）时，通过短信 / 邮件 / 钉钉通知，提前介入处理：
   告警阈值建议：按业务场景设置，如普通业务 70%、高负载业务 85%；
   监控指标：同时监控 CPU、内存、网络带宽，实现多维度预警。
8. 优化业务架构（从根源减少 CPU 负载）
   分离应用与数据库：将数据库单独部署在专用实例，避免单服务器同时跑应用 + 数据库，CPU 双重负载；
   开启缓存：将高频访问的数据放入 Redis/Memcached 缓存，减少数据库查询，降低 CPU 占用；
   负载均衡：若业务并发量高，部署多台服务器，通过云平台负载均衡（SLB）分发请求，分摊单服务器 CPU 压力。
   四、核心总结（快速查阅）
   表格
   问题场景 快速解决方法 长期优化措施
   CPU 冲高→网络中断（非攻击） VNC 重启网络 → 控制台硬重启 升级配置 + 限制进程 CPU + 开启资源告警
   CPU + 内存 + 带宽冲高→CC 攻击 开启 CDN/WAF → 安全组屏蔽异常 IP 配置 WAF 防护策略 + 负载均衡分摊请求
   定时任务导致 CPU 冲高 临时杀死任务进程 调整任务执行时间 + 优化脚本
   业务程序导致 CPU 冲高 重启业务服务 优化代码 + 数据库索引 + 开启缓存

修改默认远程访问端口（如Windows的RDP，默认端口3389，以及Linux的SSH，默认端口22）可以增强系统安全性，通过避免自动化攻击和恶意扫描针对常用端口的攻击，从而保护服务器或服务免受未授权访问的风险。本文介绍如何修改ECS实例的默认远程端口。

修改Windows系统实例默认远程端口
本节以Windows Server 2022为例介绍如何修改Windows系统实例默认远程端口。

远程连接到Windows实例。

修改注册表子项PortNumber的值。

按快捷键 Win（Windows 徽标键）+R，启动运行窗口。

输入regedit.exe后按回车键，打开注册表编辑器。

在左侧导航栏，选择HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp。

在右侧列表中找到注册表子项PortNumber并右键单击，选择修改。

在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中为3399。在基数区域单击十进制，然后单击确定。

在左侧导航栏，选择HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp。

在右侧列表中找到注册表子项PortNumber并右键单击，选择修改。

在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中为3399。在基数区域单击十进制，然后单击确定。

在ECS管理控制台重启ECS实例。

查看并关闭Windows系统防火墙。

具体操作，请参见管理Windows系统防火墙。

为该实例添加安全组规则，允许新配置的远程端口进行连接。

远程访问实例，在远程地址后面添加新远程端口号即可连接实例

修改Linux系统实例默认远程端口
本节以Alibaba Cloud Linux 3为例介绍如何修改Linux系统实例默认远程端口。

远程连接到Linux实例。

运行以下命令备份sshd服务配置文件。

修改sshd服务的端口号。

运行以下命令编辑sshd_config配置文件。

在键盘上按i键，进入编辑状态。

添加新的远程服务端口。

本节以1022端口为例。在Port 22下输入Port 1022。

在键盘上按Esc键，输入:wq后保存并退出编辑状态。

运行以下命令重启sshd服务。重启sshd服务后您可以通过1022端口SSH登录到Linux实例。

查看并关闭Linux系统防火墙。

具体操作，请参见关闭Linux系统防火墙。

配置实例的安全组放行TCP协议1022端口。

使用SSH工具连接新端口，测试是否成功。

登录时在Port文本框中输入修改后的端口号，在本示例中即1022。

物理服务器常用于承载关键业务系统、数据库、中间件、虚拟化平台、大规模数据处理任务以及高密度 I/O 需求的企业级应用。其硬件可根据业务需求灵活配置，包括处理器选择、多通道内存、高速 NVMe 存储、RAID 阵列方案、冗余电源及高带宽网络等，为企业构建稳健的 IT 基础架构提供坚实保障。

本产品定位为 企业级高性能计算节点及核心业务载体，在设计中强调以下核心特性：

高性能 采用多核处理器、高频内存和高速存储技术，确保在计算密集和 I/O 密集型应用中具备优异表现。

高可靠性 支持电源、风扇、存储等关键部件的冗余设计，减少单点故障风险，提升系统持续运行能力。

安全可控 集成硬件级安全机制和智能化管理工具，实现服务器状态监控、远程操作和固件管理等功能，满足企业对安全与可运维性要求。

通过上述能力，物理服务器能够为企业构建稳定、高性能、高安全的计算基础，适用于金融、电信、互联网、制造、医疗等多行业的重要业务系统部署需求。

峰值带宽
按固定带宽模式计费的峰值带宽模式，没有流量限制，无需购买流量包，支持选购更高的带宽峰值。
禁止购买同节点的多台峰值带宽模式服务器并同时高占用带宽，以此达到叠加带宽峰值的效果，这是违反用户协议的行为，一旦发现将立即封禁同节点下的所有服务器。
该模式非独享带宽，禁止长时间占用带宽，长时间占用带宽将被黑盒限速，停止占用带宽一段时间后将恢复峰值带宽。
如发现主观通过技术手段，穿透带宽限制及限速，造成带宽超限，将封禁服务器且不退款。如因被植入病毒或其他客观原因导致带宽超限，提交相关证明材料后，可解封一次服务器，但如若再次出现该情况，将封禁服务器且不可解封不可退款。
不同节点的带宽价格不同，可以在购物车中选配查看对应价格。

独享带宽
按固定带宽模式计费的带宽模式，没有流量及其他规则限制。
可以购买同节点的多台臻享带宽模式服务器并同时高占用带宽。
该模式独享带宽，允许24小时全天占满带宽，无任何限速规则。（运营商流量结算政策导致的运营商限速与我司无关）
如发现主观通过技术手段，穿透带宽限制及限速，造成带宽超限，将封禁服务器且不退款。如因被植入病毒或其他客观原因导致带宽超限，提交相关证明材料后，可解封一次服务器，但如若再次出现该情况，将封禁服务器且不可解封不可退款。
不同节点的带宽价格不同，可以在购物车中选配查看对应价格。

流量说明
购买的临时流量包，免费流量用完后将直接转为按量付费。
按量付费将直接扣除余额，统计延迟时间为1小时，余额不足以充值流量后将关闭服务器访问。
流量预警
当您的余额不足以支付流量费用时，将通过短信或邮件的方式通知到您。

香港专区线路测试 IP

香港一区85.137.244.1

香港二区

香港三区

美国专区线路测试 IP
美国 9929/CMIN2 A 区：154.12.51.0/24

美国精品 CN2/BGP A 区：154.9.235.0/24

美国 200G 优化高防 A 区：154.13.4.0/24、154.29.148.0/24

日韩及东南亚线路测试 IP
日本 BGP 不限流区：154.36.181.0/24
日本 BGP 大带宽区：154.36.181.0/24
新加坡 BGP 不限流区：156.254.5.0/24
马来西亚 BGP 不限流区：154.89.157.0/24