基线检查风险项修复及验证 当基线检查功能检测到并提示您服务器上存在的风险项时，请参考如下风险项修复建议为您的服务器进行安全加固。 约束限制 未开启防护不支持基线相关操作。 弱口令修复 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 单服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、在HSS控制台选择“资产管理 > 主机管理 > 云服务器”，进入服务器页面。 2、搜索目标服务器，单击目标服务器名称进入服务器详情页面。 定位目标服务器 3、选择“基线检查 > 配置检查”页签，单击风险项前的展开按钮，查看所有检查项。 4、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 单服务器查看修复建议 全量服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表511所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。云安全实践、等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 查看修复建议

基线检查风险项修复及验证 当基线检查功能检测到并提示您服务器上存在的风险项时，请参考如下风险项修复建议为您的服务器进行安全加固。 约束限制 未开启防护不支持基线相关操作。 弱口令修复 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 单服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、在HSS控制台选择“资产管理 > 主机管理 > 云服务器”，进入服务器页面。 2、搜索目标服务器，单击目标服务器名称进入服务器详情页面。 定位目标服务器 3、选择“基线检查 > 配置检查”页签，单击风险项前的展开按钮，查看所有检查项。 4、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 单服务器查看修复建议 全量服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表511所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。云安全实践、等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 查看修复建议

本文通过图文说明刷新功能的类别,操作方法及注意事项。 功能介绍 天翼云边缘安全加速平台—安全与加速服务支持URL刷新、目录刷新和正则刷新三种内容刷新方式。不同刷新方式实现机制稍有不同，但最终都能确保用户访问时获得最新的内容。常用于客户对源站内容做更新后，需要边缘节点上对该内容做同步更新的场景。 URL刷新：执行URL刷新请求后，边缘节点会直接删除URL对应的缓存内容，此时，如果客户端向边缘节点请求该内容，节点会回源站获取并缓存新的内容，同时返回给用户。 目录刷新/正则刷新：执行目录或正则刷新请求后，节点缓存将被标记为缓存过期状态（也叫缓存置过期），此时，如果客户端向边缘节点请求该内容，节点会携带IfModifiedSince请求头或IfNoneMatch请求头回源站校验内容是否有更新。如果源站响应304，说明源站内容未更新，节点则只更新缓存状态不拉取新内容，使用已有缓存响应给用户；如果源站响应200或206，说明源站内容有更新，节点将拉取新内容并缓存，使用新内容响应给用户。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2.在【刷新预取】页面，单击【创建任务】。 3.按实际场景需求，选择【URL刷新】、【目录刷新】或【正则刷新】。 4.按照对应刷新类型标题下方的提示内容，填写待刷新URL。 5.配置完成后，单击【确定】。 6.完成刷新任务提交后，如要查看任务执行进度和结果，可以选择具体的时间、输入目标域名，或者选择一种特定的任务状态类型查看刷新任务的执行情况。

本章节主要介绍使用微服务仪表盘 您可以通过仪表盘实时查看微服务运行相关的指标，根据丰富实时的仪表盘数据，对微服务做相应的治理动作。 背景说明 如果微服务应用部署在ServiceStage上，部署应用时需要设置微服务引擎，应用会自动获取服务注册发现地址、配置中心地址和仪表盘地址，不需要配置monitor地址，就可以使用仪表盘功能（当前只有Java Chassis和Go Chassis支持仪表盘地址自动发现功能）。 如果是本地启动微服务应用注册到微服务引擎，需要手工配置monitor地址，才可以使用仪表盘功能。 操作步骤 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待操作的微服务引擎，单击“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 在“仪表盘”页面，在下拉列表框选择需要查看的应用，在搜索框输入微服务名称，查询微服务，页面将展示筛选出的微服务的运行指标。 单击“查看示例图”，可以查看运行指标参数含义。 步骤 5 选择排序方式，筛选出的微服务会按照指定方式进行排序。

安装插件 说明 云原生监控插件当前根据数据存储配置自适应选择部署模式（3.7.1及以上版本插件支持），具体如下： 原agent模式：关闭本地数据存储，且监控数据上报至AOM服务和监控数据上报至第三方监控平台至少开启其中之一。 原server模式：开启本地数据存储，同时支持开启监控数据上报至AOM服务或监控数据上报至第三方监控平台。 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到 云原生监控插件 ，单击“安装”。。 步骤 2 在安装插件页面，根据需求选择“数据存储配置”，至少需要开启一项。 监控数据上报至AOM服务 ：将普罗数据上报至 AOM 服务。开启后，可选择对应的AOM实例。采集的基础指标免费，自定义指标将由AOM服务进行收费。对接AOM需要用户具备一定权限，目前仅在admin用户组下的用户支持此操作。 监控数据上报至第三方监控平台 ：将普罗数据上报至第三方监控系统，需填写第三方监控系统的地址和Token，并选择是否跳过证书认证。 本地数据存储 ：将普罗数据存储在集群中的PVC存储卷里，选择用于存储监控数据的磁盘类型和大小。 存储卷不随插件卸载而删除 。开启本地数据存储时，将部署全量组件。 说明 若monitoring命名空间下已存在可使用的PVC（名称为pvcprometheusserver0），将使用该存储作为存储源。 步骤 3 根据需求选择“规格配置”。 插件规格 ： 选择“系统预置规格”时，系统会根据不同的预置规格配置插件的实例数及资源配额，具体配置值请以控制台显示为准。 选择“自定义规格”时，您可根据需求调整插件实例数和资源配额。实例数为1时插件不具备高可用能力，当插件实例所在节点异常时可能导致插件功能无法正常使用，请谨慎选择。 普罗高可用 ：高可用会在集群中将Prometheusserver、Prometheusoperator、thanosquery、custommetricsapiserver、alertmanager、kubestatemetrics组件按多实例方式部署。 采集分片数 （选择非“本地数据存储”时支持设置）：当Prometheus的数据量很大时，您可以通过设置该参数，将数据分片到指定数量的Prometheus实例上存储和查询。增加分片数量可以使每个分片承担的数据量更少，从而增加指标的采集吞吐上限，但也会消耗更多的资源。默认采集分片数根据集群规模自动生成，建议每50个节点配置一个采集分片，如果您需要增加分片数量，提高采集性能，需要考虑资源占用的影响，根据具体的监控场景进行权衡和调优。为确保系统稳定性，建议将控制节点内存使用率控制在50%以下。 安装grafana ：通过 grafana 可视化浏览普罗监控数据。grafana 会默认创建大小为 5 GiB 的存储卷，卸载插件时 grafana 的 存储卷不随插件被删除 。首次登录默认用户名与密码均为 admin，登录后会立即让您修改密码。 步骤 4 设置插件支持的“参数配置”。 自定义指标采集 ：以服务发现的形式自动采集应用的指标。开启后需要在目标应用添加相关配置。 采集周期 ：设置采集时间间隔周期。 数据保留期 （选择“本地数据存储”时支持设置）：监控数据保留的时长。 nodeexporter监听端口 ：该端口使用主机网络，用于监听并暴露所在节点的指标供普罗采集；默认为9100，若与您已有应用的端口冲突，可按需修改。 调度策略 ：可单独配置插件各个组件的节点亲和性和污点容忍能力。可以配置多个调度策略，不配置亲和节点键和容忍节点污点键则默认不开启对应的调度策略。 作用范围：可选择调度策略生效的插件实例，默认对全部实例生效。当指定组件实例名称时，将覆盖全部实例所配置的调度策略。 亲和节点标签键：填写节点标签键，为插件实例设置节点亲和性。 亲和节点标签值：填写节点标签值，为插件实例设置节点亲和性。 容忍节点污点键：目前仅支持污点键级别的污点容忍策略，组件可以调度到拥有该污点键的节点。 步骤 5 完成以上配置后，单击“安装”。 插件安装完成后，根据您的使用需求，可能还需进行以下操作： 如需使用自定义指标创建弹性伸缩策略，请确认云原生监控插件的数据存储配置为开启本地数据存储的模式，然后参考以下步骤： 采集应用上报的自定义指标至Prometheus。 将Prometheus采集到的自定义指标聚合到API Server，可供HPA策略使用。 如果您需要使用该插件为工作负载弹性伸缩提供系统资源指标（如CPU、内存使用量），请确认云原生监控插件的数据存储配置为开启本地数据存储的模式，然后开启Metric API。配置完成后，可使用Prometheus采集系统资源指标。（该操作可能与Kubernetes Metric Server插件产生冲突，不推荐）

firewallcmd listall 4. 执行以下命令，在防火墙中添加端口1234，并重启防火墙服务。 firewallcmd addport1234/tcp permanent zonepublic firewallcmd reload

字段 是否必填 说明 command 是 启动 MCP Server 的命令，推荐使用 npx args 是 MCP Server 包名和启动参数 CTGAPIKEY 是 AccessKey ID CTGAPISECRET 是 AccessKey Secret CTGSERVICEURL 否 服务地址，未配置时使用 SDK 默认地址

字段 是否必填 说明 command 是 启动 MCP Server 的命令，推荐使用 npx args 是 MCP Server 包名和启动参数 CTGAPIKEY 是 AccessKey ID CTGAPISECRET 是 AccessKey Secret CTGSERVICEURL 否 服务地址，未配置时使用 SDK 默认地址

参数 参数类型 说明 示例 下级对象 service String 服务 ecs dimension String 维度 ecs dimensions Array of Objects 监控项标签 dimension timestamp Integer 监控数据Unix时间戳 1667815639 itemName String 监控项名称 cpuutil itemDesc String 监控项中文介绍 CPU使用率 itemUnit String 监控项单位 % rawValue Double 监控项原始值 85 compareData Array of Objects 比较数据 compareDataObj resource Array of Objects 资源 obj

本节介绍漏洞扫描服务是否可以扫描域名下的项目。 VSS采用网页爬虫的方式全面深入的爬取网站url，然后针对爬取出来的页面模拟黑客进行试探攻击，帮助您发现网站潜在的安全隐患。如果域名下的项目没有被VSS爬取出来，则该项目不会被VSS扫描到。您可以通过网站扫描详情，查看域名下的项目是否被VSS扫描到。

分布式缓存服务版本类型经典版调整为白名单特性，更多了解请查看经典版实例规格。 调整时间 2024年6月15日 影响范围 所有区域 调整影响 新用户默认不能开放经典版实例规格订购开通，如需要该特性，请联系技术支持开通后使用。 已购买经典版的用户，原实例仍可正常使用，续费、扩容等操作不受影响。

本文帮助您了解如何创建云企业路由器实例。 操作场景 在云间高速（标准版）实例中，用户根据实际业务需求，在目标资源池区域创建云企业路由器实例。云企业路由器作为网络的核心组件，负责转发本地资源池区域内的所有网络实例的流量。 操作步骤 1. 登录云间高速（标准版）管理控制台，并在侧菜单列表中选择“云间高速（标准版）”。 2. 在控制台首页，单击目标云间高速（标准版）实例操作列的“管理 ”或单击目标云间高速（标准版）实例名称。 3. 进入目标云间高速实例详情页面，单击“云企业路由器管理 ”，然后单击“创建云企业路由器”。 4. 在创建云企业路由弹窗中，根据页面提示，填写参数。 参数 说明 取值样例 大区域 选择大区域类型，目前仅支持“境内”和“亚太” 境内 资源池 选择目标资源池，支持模糊检索 华东1 名称 云企业路由名称 CERhuadong1 描述 云企业路由器描述 6. 核对信息后，仔细阅读服务协议并勾选同意。 7. 单击“确定”，完成当前资源池区域云企业路由器创建。 说明 在云间高速网络实例中，只有在第一次创建云企业路由器的时候需要勾选服务协议。

本节主要介绍操作步骤 前提条件 待压测应用需提前准备好，本例没有实际的应用压测，主要讲解压测方法。 操作流程 使用性能测试，您需要按照如下流程操作： （可选）了解性能测试基本概念：在使用性能测试服务前，建议您先了解一些基本概念。 前提条件：使用性能测试服务进行压测，您需要预先准备好待压测的应用。 资源和套餐准备：购买合适的性能测试套餐，创建私有资源组。若是使用共享资源组，无需额外创建私有资源组。 任务创建、调试及执行：根据业务实际情况，创建需要压测的任务，可以多任务并行压测。 测试报告分析：查看实时报告，根据报告提前识别一网通办系统的性能瓶颈。 了解性能测试基本概念 并发用户数： 在性能测试工具中，并发用户数一般被称为虚拟用户数。 RPS（QPS）： 平均每秒发出请求的次数（R Request / Taken Time(s)）。 响应时间： 用户从客户端发起一个请求开始，到客户端接收到从服务器端返回的响应结束，整个过程所耗费的时间。在性能检测中一般以测试环境中压力发起端至服务器返回处理结果的时间为计量，单位一般为秒或毫秒，该时间不同于模拟真实环境的用户体验时间。

本节介绍如何通过云等保专区进入云安全中心控制台。 云安全中心是专为云环境设计的综合性SaaS化安全管理平台，它具备实时监测、防御和分析安全威胁的能力，通过提供一体化的安全运营解决方案，助力用户实现云安全的全面管理和控制，降低用户的安全风险。 在云等保专区控制台购买云安全中心资源后，即可进入云安全中心控制台，接入安全产品日志，云安全中心能通过接入的日志内容进行威胁建模，完成各类安全告警的生成，辅助您进行安全处置，实现安全运营。 前提条件 已购买云安全中心资源，且资源状态为“运行中”。 进入云安全中心控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“云安全中心”，跳转到云安全中心控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 使用云安全中心 请参见云安全中心。

此章节为您介绍数据库审计购买常见的问题。 每个资源池最多支持购买几个数据库审计实例？ 根据你购买的数据库审计版本而决定。 标准版：3个 高级版：6个 企业版：12个 旗舰版：30个 如何为数据库审计实例续费？ 在数据库审计实例到期前，用户可以通过续费操作继续使用数据库审计。 续费步骤 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待续费的数据库审计实例的“操作”列，选择“更多 > 续订”。 4.在续费页选择续订时长。 5.确认订单无误并阅读《天翼云数据库审计产品服务协议》后，勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 6.在后续操作中完成支付即可正常续费数据库审计。 如何退订数据库审计实例？ 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待退订的数据库审计实例的“操作”列，选择“更多 > 退订”。 4.在弹出的对话框中单击“确定”。 5.在“退订申请”页面中选择退订原因和确认后，单击“退订”，即完成数据库审计实例的退订。

云间高速（尊享版）产品资费如下： 收费项目 资费标准包括端口使用费、BGP路由条目增强服务费、网络使用费。 收费标准 （一）端口使用费： 产品名称 标准价格（元/月） 端口使用费 100 说明：端口使用费是指客户使用云间高速服务所占用的设备端口资源的费用。 （二）BGP路由条目增强服务费 产品名称 标准价格（元/条/月） BGP路由增强服务费 （默认提供一条免费路由条目） 20 说明：BGP路由条目数不得多于20条 （三）网络使用费 产品名称 规格 标准价格（元/M/月） 网络使用费 （按单节点资源池收取） （0,20Mb） 276 网络使用费 （按单节点资源池收取） [20,50Mb） 207 网络使用费 （按单节点资源池收取） [50,100Mb） 145 网络使用费 （按单节点资源池收取） [100,500Mb） 110 网络使用费 （按单节点资源池收取） [500,1000Mb） 59 网络使用费 （按单节点资源池收取） 1Gb以上 43

什么是慢速攻击？ 慢速攻击主要分为slow header、slow body、slow read。 slow body慢速攻击是指攻击者利用http协议合法机制，在建立连接后，向目标服务发送POST请求，将报文设置为一个很大的值，再通过发送较小的报文，导致服务器一直等待数据，连接始终被占用，最终导致被攻击方的服务器资源耗尽。 Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部，攻击者发起一个HTTP请求，一直不停的发送HTTP头部，消耗服务器的连接和内存资源，这就是slow header慢速攻击。 slow read慢速攻击是指客户端发送完整的请求给服务器端，然后一直保持这个连接，以很低的速度读取Response，比如通过发送Zero Window到服务器，让服务器误以为客户端很忙，以消耗服务器的连接和内存资源。 什么是畸形报文攻击？ 畸形报文攻击是一种网络攻击，攻击者会发送大量的畸形报文（即不符合协议规范的报文）到目标服务器或网络，使得目标设备在处理这样的报文时出错和崩溃，影响目标设备承载的业务正常运行。常见的畸形报文攻击如：Tear Drop、LAND、Fraggle等。

本文主要介绍弹性负载均衡的产品类型及其区别。 产品介绍 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。 产品类型 弹性负载均衡服务提供独享型负载均衡 和共享型负载均衡两种类型的实例供用户选择。 表弹性负载均衡产品类型对比 类型 独享型 共享型 部署模式 负载均衡实例资源独享，实例的性能不受其它实例的影响，您可根据业务需要选择不同规格的实例。 集群部署，同资源池实例资源共享，实例的性能会受其它实例的影响。 实例规格 提供多种规格供选择，不同规格的实例提供差异化的性能指标。 不支持选择实例规格。 性能 当选择多个可用区后，对应的性能规格（新建连接数/并发连接数等）加倍。 例如：单实例最大支持2kw并发，那么双AZ就支持4kw并发。 不提供性能保障。 可用区 支持自定义可用区。 对于公网访问，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上，多个AZ的ELB性能加倍。 对于内网访问： 当从创建ELB的AZ发起访问时，流量将被分配到本AZ中的ELB上，当本AZ的ELB不可用时，容灾到创建的其他AZ的ELB上。 如果本AZ的ELB正常，但是本AZ的流量超过规格，业务也会受影响，内网场景要考虑客户端访问的均衡性。内网流量使用率建议通过AZ粒度监控观察是否超限。 当从未创建ELB的AZ访问时，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上。 对于云专线访问，流量优先分配到专线对接的AZ下部署的ELB，否则分配到其他AZ下的ELB。 对于客户端跨VPC访问，流量优先分配至源VPC子网所在AZ部署的ELB，否则分配到其他AZ下的ELB。 不涉及。 收费 按实例规格计费。 实例免费。 产品定位 具备强大的四层和七层处理能力，支持多种应用协议和高级转发策略。 基础的四层与七层处理能力。 推荐场景 大流量高并发的业务场景，如大型网站、云原生应用、车联网、多可用区容灾应用等。 流量负载较低的业务场景，如小型网站和普通应用。

名词 说明 内网域名 由一串点分隔的名字组成的用于云VPC网络访问目标主机或负载均衡的名称。 记录集 记录集是域名下一组资源记录的集合，这些资源记录属于同一域名，用于该域名支持的解析类型和解析值。 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 CNAME记录 指定域名的别名，用于将域名解析成另一个域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 TXT记录 文本记录，用于对域名进行标识和说明，主要用于： 记录DKIM公钥，用 于反电子邮件欺诈。 记录域名所有者身份信息，用于域名找回。 SRV记录 服务记录类型，记录值含服务器的地址、服务端口、优先级和权重。 PTR记录 反向解析记录，对指定IP地址的反向解析记录，用于从私网IP地址反向查询对应的域名。

前置条件 1.账号为主账号或者角色为IAM管理员的子账号 2.开通专属集群 操作步骤 队列旨在帮助用户精细化管理资源，队列是一个资源池中部分资源的集合，用于工作负载，比如训练任务、在线服务的运行，一个资源池中可创建多个队列。用户购买资源池后可将资源池划分成若干个队列，并使用队列中的资源处理不同业务的工作负载。 打开队列管理，顶部导航栏下拉选择集群的位置，选择到自己所有的专属集群。 【创建队列】操作 点击【创建队列】按钮，进入创建队列页面，填写相应信息。 说明 负载类型：选择的负载类型，代表对应的任务可以提交到该队列，占用该队列资源。比如某队列，负载类型选择了大模型微调、在线服务，则代表这两类任务可以提交到该队列，其他任务比如IDE、大模型评估等不可以提交到该队列。 实例规格和实例数：共同决定了该队列的资源额度上限。 管理员和成员：管理员的权限高于成员，成员只能使用该队列的资源，管理员除了能使用资源以外，还能管理该队列，具体包含管理用户，编辑，更配、启动/停止、删除操作。 【查询】操作 创建好的队列会出现在队列列表里，可通过负载类型、状态筛选，也可以通过队列ID、名称搜索。

本页介绍了如何恢复集群版实例备份。 备份点恢复 恢复到已有实例 文档数据库服务产品支持对集群规格实例的备份数据集进行数据恢复到已有实例操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”的集群规格实例的实例名称，进入到该实例详情页。 4. 点击选择“备份恢复”页，或者点击左侧的“备份管理”菜单。 5. 进入到备份数据集列表，选择对应的备份数据集，在“操作”列，点击“恢复”按钮。 6. 在弹出的“备份点恢复”弹窗中，选择“已有实例”按钮，选择目标实例，点击“确定”按钮（部分资源池为“提交”按钮），等待数据恢复完成。 恢复到新实例 文档数据库服务产品支持对集群规格实例的备份数据集进行数据恢复到新实例操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”的集群规格实例的实例名称，进入到该实例详情页。 4. 点击选择“备份恢复”页，或者点击左侧的“备份管理”菜单。 5. 进入到备份数据集列表，选择对应的备份数据集，在“操作”列，点击“恢复”按钮。 6. 在弹出的“备份点恢复”弹窗中，选择“新实例”按钮，点击“确定”按钮，进入“文档数据库恢复”页面。 7. 填写好需要恢复的新实例的基础配置，实例规格， 网络配置等信息，即可完成恢复操作。 时间点恢复

说明：本章节会介绍如何创建数据库只读实例 操作场景 只读实例用于增强主实例的读能力，减轻主实例负载。 关系型数据库单实例或主备实例创建成功后，您可根据业务需要，创建只读实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击操作列的“创建只读”，进入“服务选型”页面。 步骤 5 您也可在实例的“基本信息”页面，单击实例拓扑图中，主实例下方的添加按钮，创建只读实例。 步骤 6 在“服务选型”页面，填选实例相关信息后，单击“立即创建”。 表1基本信息 参数 描述 当前区域 只读实例默认与主实例在同一区域。 实例名称 实例名称的长度在4~64个字符之间，必须以字母开头，可包含大写字母、小写字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 默认与主实例的数据库引擎一致，不可更改。 数据库版本 默认与主实例的数据库版本一致，不可更改。 可用区 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主实例和只读实例，只读实例的选择和主实例可用区对应情况： 相同，主实例和只读实例会部署在同一个可用区。 不同，主实例和只读实例会部署在不同的可用区，提高可靠性。 表2规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 关于性能规格详情，请参见数据库实例规格。 创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 只读实例的存储空间大小默认与主实例一致。 表3网络 参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同，创建只读实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 和主实例相同。 步骤 7 在“规格确认”页面，进行信息确认。 如果需要重新选择，单击“上一步”，回到服务选型页面修改基本信息。 信息确认无误，单击“提交”，下发新增只读实例请求。 步骤 8 只读实例创建成功后，您可以对其进行查看和管理。 管理只读实例操作，请参见管理只读实例。 步骤 9 您可以通过“任务中心”查看详细进度和结果。

本小节介绍态势感知配置虚拟网关及网络配置。 串联部署及网络配置 确保态势感知网关的安全组放行 22 端口，所有态势感知云主机网卡下关闭源/目的检查。虚拟网关的配置需要配合态势感知技术工程师。由态势感知技术工程师配置。 场景A 态势网关，直接下挂业务场景，网络配置步骤： 1. 在天翼云控制中心所有服务中点击网络下的虚拟私有云。 2. 在虚拟私有云中找到对应开通的3台云主机网段，点击进入。 3. 点击路由表选项下添加路由信息，配置路由，下一跳的IP地址为虚拟IP地址 场景B 态势网关下挂负载均衡器场景，网络配置步骤： 步骤一：在天翼云控制中心所有服务中点击网络下的虚拟私有云。 步骤二：在虚拟私有云中找到对应开通的3台云主机网段，点击进入。 步骤三：点击路由表选项，配置路由，下一跳的IP地址为虚拟IP地址

本文简述API返回参数code和message含义。 code code含义 message示例 :: 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100004 调用超限 超过调用频率限制，请稍后重试 100005 请求类型错误 当前调用的api请求方式错误 100012 底层错误 请求错误，（底层返回结果）, RequestId是 100013 系统错误 系统错误, RequestId是 100014 底层超时 请求底层超时, RequestId是 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名和产品不匹配 域名和产品类型校验失败，产品类型{}下域名{}不存在 200003 操作失败域名 域名状态为已停用，无法进行修改 200004 未开通CDN相关产品服务调用统计分析类接口，查询失败 无法获取您已开通CDN相关产品的账号，请开通产品后再调用 200005 产品有效性校验 操作失败，当前用户未开通产品类型{}的服务 200005 操作失败非域名 操作失败，taggroup “xxx”在productcode“xxx”时，不存在 200006 查询失败 查询ark不存在，配置存在时返回

VPN建立后您的数据中心或局域网无法访问弹性云主机？ 我们提供的安全组默认不允许任何源访问，请确认您的安全组是否配置允许远端的子网地址访问。 为什么VPN创建成功后状态显示未连接？ VPN连接状态存在一定延迟，请等待大约2分钟后重新刷新VPN连接状态。 VPN是否启动了DPD检测机制？ 是的。 VPN服务默认开启了DPD探测机制，用于探测用户侧数据中心IKE进程的存活状态。 3次探测失败后即认为用户侧数据中心IKE异常，此时云会删除本端隧道，以保持双方的隧道同步。 DPD协议本身并不要求对端也同步进行配置（但是要求对端可以应答DPD探测），为了保证协商双方隧道状态一致，避免出现单边隧道（一端存在隧道，而另一端已不存在），建议用户同时启动用户侧网关的DPD探测机制，用于探测云侧VPN服务的IKE状态。 说明 DPD探测失败后会删除隧道，不会导致业务不稳定。 DPD可以及时发现对方IKE进程异常，并通过重置隧道的方法来保持双方隧道同步。在删除隧道后，当有用户流量时，可以重新触发协商并建立隧道。

后续操作 保存至模型管理：将当前训练任务实例中的模型文件保存到模型仓库中统一管理，模型仓库中会新增一个来源为“训练任务”的模型。后续可以基于此模型进行开发机、训练任务和服务部署任务。

本节介绍iBox边缘盒子的计费模式说明。 iBox边缘盒子提供租赁服务，到期后设备回收处理。 产品按照不同的规格型号进行收费，标准产品出账模式为xx元/年或xx元/3年。 支付方式支持：包括后付费和预付费，根据用户需要灵活选择。

智算一体机从产品购买到正式交付，主要服务流程如下所示： 产品订购 确定需求：客户经理与客户确定项目需求，最终确定项目配置方案和交付时间，并完成下单。 项目设计：确定客户需求后，天翼云技术专家开始设计并输出网络集成规范、系统集成方案、测试用例等。 硬件/软件集成：天翼云技术专家进行硬件集成、网络配置、软件集成等。 测试验收：天翼云测试专家进行测试验收、输出对应报告并进行发货评审。 产品交付 产品发货：天翼云将按照与客户约定的时间依次发货。 交付部署：天翼云服务团队将现场上电、通网、现场系统测试、系统交付检查。 客户验收：由客户进行智算一体机全方位验收，验收通过后即进入计费周期，客户可以开始进行大模型训练或者推理。

注意事项 客户原有 XPack 相关功能（如 Watcher、ML、RBAC、License 校验等）需替换为OpenSearch插件或重写业务逻辑。 Kibana的仪表盘、图表迁移需适配OpenSearch Dashboards（部分图表可能不兼容）。 是否安装第三方插件，以及插件的不同版本功能使用上是否存在差异。 API兼容性与客户端适配 SDK需要使用OpenSearch官方提供的SDK。不过OpenSearch也兼容Elasticsearch的Java HighLevel Rest Client，只需要修改少量的代码（具体可以参考《Elasticsearch与OpenSearch的Java Client代码差异》章节）。 注意事项 建议更换为OpenSearch官方SDK。 如用Elasticsearch 8.x SDK，需回退使用兼容 Elasticsearch 7.10 的版本（否则会因header校验失败）。 安全配置差异 安全能力 Elasticsearch(XPack) OpenSearch 用户认证 基于License的角色控制 内置OpenSearch Security插件 多租户隔离 XPack支持Spaces OpenSearchDashboards 支持 Multitenancy 注意事项 需重新配置： 用户角色映射 (roles.yml, tenants.yml)； Dashboards多租户视图； API Token/LDAP/SAML集成方式。 访问控制策略语法和行为有区别，尤其是fieldlevel和documentlevel安全控制。 迁移与数据恢复 常见迁移方式包括 1. 使用快照迁移 优点：简洁、可靠；可保留索引、映射、分片结构和设置。 适用场景：客户使用的ES 版本 ≤ 7.10.2，数据量较大，迁移时可接受短暂停机或只读窗口。 限制/注意事项：ES 8.x 快照不可恢复至 OpenSearch。 2. 使用Logstash迁移 优点：支持数据加工/转换，迁移时可进行字段清洗、格式转换。 适用场景：想要“边迁移边清洗”，或者只迁移部分数据字段；或ES源版本较新（7.11+） 限制/注意事项：需部署Logstash，性能较低，不保留原mapping设置；需要重建索引结构。 3. Reindex from Remote 优点：操作简单、无需额外工具，实时迁移部分数据或索引。 适用场景：只需迁移部分索引、文档数量不大、源ES支持reindexremote。 限制/注意事项：源和目标集群需网络可通；不能迁移mapping和setting，需手动创建索引结构；不支持向量数据迁移。 4. 逐节点原地迁移（InPlace Rolling Upgrade） 优点：无需拷贝数据，保留分片布局、设置、集群UUID，最完整地保留原集群状态。 适用场景：客户源ES为OSS版本且版本号≤7.10.2，不想重建集群或数据迁移成本较高。 限制/注意事项：源集群和目标集群必须是兼容版本（≤7.10.2）；需停掉每个节点依次切换为OpenSearch，较复杂；不支持ES 8.x。 额外限制：目前天翼云云搜索服务为全托管服务，不支持自助逐节点原地迁移。客户可以通过这种方式将数据先迁移到天翼云云主机，然后再逐步迁移到天翼云云搜索服务。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

此小节介绍云堡垒机资产访问授权管理。 资产访问授权用于控制用户访问资产的权限。 云堡垒机支持对运维用户限制登录时间段和协议限制。 前提条件 仅“管理角色”支持资产相关的操作。 新增资产访问授权 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 资产访问授权”，进入“资产访问授权”页面。 3. 单击“新增”按钮，在弹出的“新增资产访问授权”对话框中配置信息。 参数 参数说明 取值样例 基本信息 授权规则名 自定义资产访问授权的规则名称。 Test 基本信息 启用状态 选择该授权规则的启用状态，默认启用。 登录名 登录名 （可选）选择需要配置访问授权的用户。 登录名 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 资产 （可选）选择需要配置访问授权的资产。 资产 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 账号 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见：资产账号章节。 注意 若选择授权的资产账号为二次登录账号（例如root），需同时授权二次登录的源账号（例如添加root资产账号时配置的二次登录源账号testuser），否则将无法完成二次登录。 root 协议 服务 选择该授权规则支持访问的协议。 ssh 协议 RDP允许选项 仅服务选择为“RDP”时可勾选，可选是否可以通过RDP协议复制/粘贴内容或上传/下载文件。 全选 协议 vnc允许选项 仅服务选择为“VNC”时可勾选，可选是否可以通过VNC协议复制/粘贴内容。 全选 授权时间 生/失效日期 选择该规则生效的日期。 20251201 20251231 授权时间 生/失效时间 选择该规则生效的时间段。 9:00:00 18:00:00 4. 单击“提交”完成访问授权规则的创建。

服务网格支持JWT认证策略，一般在入口网关处配置认证策略，在请求后端时可以把认证后的信息带到过去，此插件支持从JWT认证信息中提取字段放到头部中转发给后端服务。 注意 1. 一般应用在Ingress网关场景 2. 需要您在入口网关处配置JWT认证策略 配置说明 字段 类型 是否必填 默认值 说明 issuer string 是 JWT的签发人，对应JWT请求认证策略中的issuer配置 fieldMapping map[string]string 是 将JWT Payload中的字段映射到头部中转发给上游，需要确保key在Payload中存在