本文介绍访问防护域名后返回5XX状态码的排查过程。 问题现象 域名接入DDoS高防（边缘云版）后，访问域名响应5XX状态码。常见的5XX状态码有：502、503、504。 排查方法 查看是否客户端网络问题 1）访问防护域名出现5XX异常，访问其他网站域名也出现异常，则代表客户端网络问题，请检查您本地网络。 2）访问防护域名出现5XX异常，访问其他网站域名未出现异常，则代表客户端网络正常。 查看是否源站问题 若源站是域名，例如防护域名为：ctyun.cn，源站域名为：ctyun.cn1，访问异常的URL为： 1）用源站域名替换访问异常URL中的域名，即替换为 2）每次测试前清除浏览器缓存，在浏览器中打开替换后的URL。 3）如果访问异常，则代表源站异常，请检查您的源站。 4）如果访问正常，则代表源站正常。 若源站是IP，例如防护域名为：ctyun.cn，源站IP为：1.1.1.1，操作系统为windows为例。 1）在C:WindowsSystem32driversetchosts文件中添加防护域名ctyun.cn和IP地址1.1.1.1的绑定关系。如下图所示。 2）每次测试前清除浏览器缓存，在浏览器中打开访问异常的URL。 3）如果访问异常，则代表源站异常，请检查您的源站。 4）如果访问正常，则代表源站正常。

批量导入资产访问授权规则 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 资产访问授权”，进入“资产访问授权”页面。 3.单击“导入”，在弹出的对话框中下载导入模板。 4.打开模板，配置相关内容。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 启用状态 选择授权规则创建完成后的启用状态，可选择“启用”或“禁用”。 启用 用户 （可选）填写需要配置访问授权的用户名，用户名请保持和系统中添加用户名保持一致。 用户组 （可选）填写需要配置访问授权的用户组，用户组请保持和系统中添加用户组名保持一致。 若您填写的用户和用户组存在重合部分，取两者最大的合集。 资产 （可选）填写需要配置访问授权的资产，资产名称请保持和系统中添加的资产名保持一致。 资产组 （可选）填写需要配置访问授权的资产，资产组名称请保持和系统中添加的资产名保持一致。 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见：资产账号章节。 协议 选择该授权规则支持访问的协议，协议可填写：SSH、TELNET、SFTP、FTP、X11、RDP、数据库、VNC。 SSH 生效时间 填写规则生效的日期，日期格式请使用yyyymmdd或yyyy/mm/dd。 20231001 失效时间 填写规则失效的日期，日期格式请使用yyyymmdd或yyyy/mm/dd。 20241001 5.填写完成后，保存文件并上传。

本节介绍了什么是云数据库TaurusDB。 产品定义 云数据库TaurusDB是最新一代企业级高扩展海量存储分布式数据库，完全兼容MySQL。采用计算存储分离架构，128TB的海量存储，故障秒级切换，既拥有商业数据库的高可用和性能，又具备开源低成本效益。 TaurusDB支持的版本请参见数据库引擎和版本。 产品架构 云数据库TaurusDB整体架构自下向上分为三层。 1. 存储层：基于DFV存储，提供分布式、强一致和高性能的存储能力，此层来保障数据的可靠性以及横向扩展能力，保证数据的可靠性不低于99.999999999%。DFV (Data Functions Virtualization)是提供的一套通过存储和计算分离的方式，构建以数据为中心的全栈数据服务架构的解决方案。 2. 存储抽象层（Storage Abstraction Layer）：将原始数据库基于表文件的操作抽象为对应分布式存储，向下对接DFV，向上提供高效调度的数据库存储语义，是数据库高性能的核心。 3. SQL解析层：与MySQL 8.0开源版100%兼容，客户业务从MySQL生态可以平滑迁移， 从其他数据库迁移也能使用MySQL生态的语法、工具，降低开发、学习成本。基于原生MySQL，在100%兼容的前提下进行大量内核优化，以及开源加固，开源生态，商用能力。 图 架构图

本文向您介绍如何使用大模型学习机的文本生成模型微调。 说明 模型训练涉及到较多的专业知识, 这里以Llama 2的LoRA微调为例给出一版示例。 1. 模型微调简介 由于基础大模型参数量极多, 训练需要的资源量极大, 因此基于基础大模型进行微调的小模型应运而生。 LoRA技术便是其中最主流的一种。 LoRA小模型无法独立使用, 需要在加载完基础大模型后再进行加载, 对基础大模型的能力进行扩展。 已有LoRA模型如何加载可参考文本生成模型使用最佳实践。 (1) 准备训练数据 支持多种格式, 主要分为格式化数据与原始文本数据。 格式化数据以alpacachatformat为例, 数据以json方式进行组织, 每条数据分为instruction,input, output三个部分。 原始文本数据直接将文章或对话的原文作为输入, 框架自动进行切分和训练。 下面以普通txt文本文件为例, 介绍后续训练过程。 (2) 上传数据到云主机 windows系统使用命令提示符, macos/linux系统使用终端, 执行scp命令将数据文件上传到云主机的/root/textgenerationwebui/training/datasets目录下。 scp [本机文件路径] root@[ip]:/root/textgenerationwebui/training/datasets

1.3 软件部署 1.3.1 获取部署包 cd /mnt/nvme0n1 wget tar xvf deepseekhw1nodev20250331.tar 1.3.2 更新MindIE镜像 mkdir p /mnt/nvme1n1/apptainer cd /mnt/nvme1n1/apptainer wget cd /mnt/nvme0n1/deepseek ln s /mnt/nvme1n1/apptainer/mindie2.0.T6.B023800IA2py3.11openeuler24.03ltsaarch64.sif . 注意 华为 MindIE 容器升级⾄ T6版本，能够优化推理执行性能，显著提升整体系统表现。 1.4 模型准备 将模型文件下载并保存在每个节点的/mnt/nvme1n1/model/ 目录下，此处以量化版DeepSeekR1模型举例： $ ll /mnt/nvme1n1/model/DeepSeekR1DistillLlama70B total 137809304 rwxrx 1 root root 879 Mar 6 13:42 config.json rwxrx 1 root root 181 Mar 6 13:42 generationconfig.json rwxrx 1 root root 1064 Mar 6 13:42 LICENSE rwxrx 1 root root 8946552810 Mar 6 13:42 model00001of000017.safetensors ... rwxrx 1 root root 60337 Mar 6 13:42 model.safetensors.index.json rwxrx 1 root root 18985 Mar 6 13:42 README.md rwxrx 1 root root 3061 Mar 6 13:42 tokenizerconfig.json rwxrx 1 root root 9084480 Mar 6 13:42 tokenizer.json 二、服务管理

1.3 软件部署 1.3.1 获取部署包 plaintext cd /mnt/nvme0n1 wget tar xvf deepseekhw1nodev20250331.tar 1.3.2 更新MindIE镜像 plaintext mkdir p /mnt/nvme1n1/apptainer cd /mnt/nvme1n1/apptainer wget cd /mnt/nvme0n1/deepseek ln s /mnt/nvme1n1/apptainer/mindie2.0.T6.B023800IA2py3.11openeuler24.03ltsaarch64.sif . 注意 华为 MindIE 容器升级⾄ T6 版本，能够优化推理执行性能，显著提升整体系统表现。 1.4 模型准备 将模型文件下载并保存在每个节点的/mnt/nvme1n1/model/ 目录下，此处以量化版DeepSeekR1模型举例： plaintext $ ll /mnt/nvme1n1/model/DeepSeekR1DistillLlama70B total 137809304 rwxrx 1 root root 879 Mar 6 13:42 config.json rwxrx 1 root root 181 Mar 6 13:42 generationconfig.json rwxrx 1 root root 1064 Mar 6 13:42 LICENSE rwxrx 1 root root 8946552810 Mar 6 13:42 model00001of000017.safetensors ... rwxrx 1 root root 60337 Mar 6 13:42 model.safetensors.index.json rwxrx 1 root root 18985 Mar 6 13:42 README.md rwxrx 1 root root 3061 Mar 6 13:42 tokenizerconfig.json rwxrx 1 root root 9084480 Mar 6 13:42 tokenizer.json 二、服务管理

本文主要讲述天翼云官网试用规则。 天翼云线上用户可在天翼云官网免费试用中心申请产品试用。 试用对象 已完成实名认证，且未订购过某款产品的天翼云新用户。 试用额度 个人用户通过天翼云官网试用云产品，初始试用额度为 1000 元。 企业用户通过天翼云官网试用云产品，初始试用额度为 2000 元。 试用规则说明 1. 试用渠道包括天翼云官网网页版、WAP、移动客户端。 2. 试用申请主要针对包周期产品，具体试用产品以活动页面为准。 3. 试用申请成功，试用体验金扣除该试用产品的价值金额，若试用体验金余额为0或小于试用产品价值，将无法成功申请该试用产品。 4. 通过云网门户申请的试用仅针对未订购过某款产品的用户，每款产品每个用户限申请 1 次，同一用户在试用有效期内不支持变更产品规格，不支持延期。 5. 试用时长以产品试用页面规则为准。试用资源到期后，试用资源关停。若试用资源未及时转商或延期，按照业务到期规则处理。 6. 同一证件下有多个账号时，仅支持其中一个账号使用试用金额，该账号使用了试用金额后，其他账号将无法使用。 7. 本规则仅适用于天翼云线上用户，线下用户请通过客户经理申请产品试用。

本节主要介绍Redis实例如何通过rediscli连接 rediscli是原生Redis自带的命令行工具，您可以在ECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 前提条件 1. 设置Redis账号密码。可选择以下任意方式： 设置Redis默认账号的密码，具体操作请参考重置缓存实例密码。 创建新的账号密码，具体操作请参考创建与管理账号。 2. 获取Redis连接信息。 使用专有网络连接：在Redis控制台，获取该实例的专有网络连接地址，具体操作请参考查看连接地址。 使用公网连接时：在Redis控制台，绑定并获取该实例的公网IP，具体操作请参考绑定公网IP。 说明 说明：Redis实例默认仅提供专有网络连接地址，通过公网连接时您需要手动申请公网连接地址，具体操作请查看 操作步骤 1. 登录安装rediscli的设备，例如天翼云弹性云主机实例或本地设备。 2. 进入rediscli安装目录下。 Windows：打开命令行窗口，进入rediscli所属的目录。 Linux：进入..redissrc所属的目录，例如cd /home/redis5.0.5/src。 3. 获取连接信息并执行下述命令连接Redis实例： rediscli h ip p port 各参数说明如下： 参数 说明 获取方式 ip Redis实例的连接地址 参见查看连接地址 port Redis实例的端口号 端口号。 4. 执行下述命令完成密码验证： AUTH password

本文介绍分布式缓存服务Redis版基本指标监控 基本指标监控目前主要包含：支持实例QPS，缓存命中率，内存碎片率，内存使用率，客户端连接数、每秒新建连接数、历史淘汰key总数、每秒淘汰key总数、历史逐出key总数、每秒逐出key总数、已设置过期时间的key总数等监控指标。 指标名称 单位 说明 每秒并发操作数（QPS） Counts/s 每秒总请求数，包含读和写命令。 缓存命中率 % 命中率计算方法：Key命中数÷（Key命中数+Key未命中数）。 内存碎片率 % memfragmentationratio （内存碎片率） usedmemoryrss (操作系统实际分配给 Redis 的物理内存空间大小)/ usedmemory(Redis 内存分配器为了存储数据实际申请使用的内存空间大小) memfragmentationratio （内存碎片率）的值越大代表内存碎片率越严重。 客户端连接数 个 Redis实例客户端连接数量 键总数 个 Redis实例的key总数 阻塞客户端连接数 个 Redis实例当前被阻塞操作挂起的客户端的数量 已使用内存 G Redis实例内存的已使用量 每秒新建连接数 个 Redis实例每秒新建客户端连接的个数 历史淘汰key总数 个 Redis实例记录的历史淘汰key总数 每秒淘汰key总数 个 Redis实例每秒淘汰的key数量 历史逐出key总数 个 Redis实例历史总逐出key的数量 每秒逐出key总数 个 Redis实例每秒逐出的key数量 已设置过期时间的key总数 个 Redis实例当前存在过期key的数量

本小节介绍日志审计(原生版)告警结果用户指南。 告警结果页面是展示日志审计服务对接的所有资产产生告警的统计页面。 前提条件 资产已经成功纳管并完成采集配置。 查看告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 查看告警结果。 说明 “告警结果”页默认展示最近24小时的告警内容，若您想查看另外时间段的告警信息，可在页面右上角的时间框中选择需要查看的时间段。 编辑告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要编辑的告警，单击“操作”列的“编辑”按钮，进入“告警详情”页面。 4. 可以修改“处置状态”、“威胁状态”和“紧急性”。 告警结果处置 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要处置的告警，单击“操作”列的“处置”按钮，进入“处置”页面。 4. 填写告警的处理方式。 参数 参数说明 处理结果 根据实际情况选择“已处理”、“已删除”、“已忽略（误报）”。 整改建议 （选填）填写告警的整改建议。 处理说明 填写告警的处理说明。 注意 已清除的告警再次触发后，不再变更处理状态，其处理状态变更为待处理，需要重新处置。

本文介绍SQL Server任务列表的功能和操作方法。 背景信息 SQL Server控制台提供任务列表的功能，旨在为用户提供便捷的任务管理操作，提供运维效率。任务列表提供任务列表，能够实时查看任务类型、进度、时间等关键信息，同时能够根据任务状态快速筛选匹配任务。 在任务列表管理的任务类型具体如下： 创建实例 重启实例 应用参数模板 修改参数 主备切换 备份数据 恢复数据 数据空间扩容 实例规格扩容 备份空间扩容 退订实例 续订实例 实例类型扩容 启动实例节点 停止实例节点 删除手动备份 修改端口 删除跨域备份 实例规格缩容 冻结对象存储备份 解冻对象存储备份 存储空间自动扩容任务提交 实例规格自动扩容任务提交 实例规格自动缩容任务提交 开启SSL 关闭SSL 迁移可用区 按需转包周期 包周期转按需 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 任务列表】，进入任务中心页面。然后在顶部菜单栏，选择区域和项目。 3. 在任务列表上方，选择任务开始时间、关键字（任务ID、任务类型、实例ID）、任务状态等筛选条件可以查询出符合条件的目标任务。 4. 对于筛选出的符合条件的目标任务，将在页面上显示其对应的任务类型、资源ID、任务状态、任务进度、任务开始时间及任务结束时间。

查看出云流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> 互联网边界流量分析”，进入互联网边界流量分析页面。 3. 选择“出云分析（主动外联）”，查看云上资源访问互联网时经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计云上资源访问互联网的数据统计以及最大流量信息，包括目的IP、源IP、目的端口、协议。 出云访问TOP统计：查看所选时间段内出云流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 出云访问带宽统计：出云峰值带宽、出云累计带宽，以及出云请求流量和响应流量数据。 出云访问分布统计：查看所选时间段内出云访问协议、出云访问应用、出云访问目的端口分布情况。支持按次数、流量进行查看。 主动外联源IP分析：展示出云流量中源IP的流量详细信息。 主动外联源IP支持添加黑/白名单，一键封禁/放行源IP。添加黑/白名单后，可通过配置黑白名单规则对规则进行管理。 主动外联目的IP分析：展示出云流量中目的IP的流量详细信息。

本页介绍了关系数据库MySQL版服务到期与欠费相关情况。 服务到期与欠费都会影响您的实例的正常使用。 注意 只读实例到期后，则会自动销毁，所有数据将被清理，如需继续使用，请提前续订只读实例。 服务到期 “按需计费”实例，无需担心服务到期问题。 “包年/包月”实例到期后将会被暂停，在暂停期间您无法通过数据库管理控制台对该实例进行操作，无法调用相关接口，监控告警等服务也会停止。如果您没有在暂停期内续费，那么该实例的服务将被终止，并且系统中的数据也将被永久删除。为了避免数据丢失，我们强烈建议您在暂停期内及时续费，或者提前备份数据并另行妥善保存。 欠费 “包年/包月”实例，如果您选择的是对象存储的备份类型，由于对象存储是按需计费的，余额欠费后，将会导致依赖对象存储的相关功能无法继续使用，例如：备份下载，日志文件下载，恢复到已有实例，恢复到新实例以及跨域备份恢复等功能，界面上相关功能按钮会置灰限制。 “按需计费”实例是按每小时扣费，当余额不足，无法对上一个小时的费用进行扣费，就会导致实例欠费，实例将会被暂停。您续费后暂停的实例，可继续正常使用，请注意在暂停期进行的续费，是以原到期时间作为生效时间，您应当支付从进入暂停期开始到续费时的服务费用。

本节主要介绍图片处理相关处理示例。 操作场景 使用OOS图片处理指令对Bucket中的图片进行处理。 前提条件 开通对象存储（经典版）Ⅰ型服务，图片所在Bucket的权限为公共读或者公共读写。 具体操作 原图宽400，高300： 获取单边固定宽度的缩略图片，宽度为100，高度按比例处理： 获取单边固定宽度的缩略图片，强制缩略成宽度为100，高度为100： 按比例缩放图片，将图按比例缩小1/2： 格式转换，将jpg保存成高度为100, 宽度为100的png格式： 获取图片的基本信息和exif信息： plaintext {"Format":{"value":""},"ImageHeight":{"value":"300 pixels"},"ImageWidth":{"value":"400 pixels"},"FileSize":{"value":"19716"}} 获取文字水印图片，字体是文泉驿正黑，字体大小是20, 颜色是白色(

本节主要介绍设置跨域访问的操作实例。 应用场景 浏览器限制脚本内发起跨源HTTP请求，即同源策略。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。通过配置跨域资源共享(CrossOrigin Resource Sharing，CORS)，可以解决不同域相互访问的问题，CORS定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式。 CORS可以应用下列场景： 通过CORS支持，使用JavaScript和HTML5来构建Web应用，直接访问OOS中的资源，而不再需要代理服务器做中转。 使用HTML5中的拖拽功能，直接向OOS上传文件，展示上传进度，或是直接从Web应用中更新内容。 托管在不同域中的外部网页、样式表和HTML5应用，现在可以引用存储在OOS中的Web字体或图片，让这些资源能被多个网站共享。 前提条件 开通对象存储（经典版）Ⅰ型服务。 具体操作 确定是否同源 如果两个网页的协议、域名、端口（若指定了端口）相同，视为同源。下表给出了相对 URL 结果 原因 成功 协议、域名、端口相同 成功 协议、域名、端口相同 失败 协议不同 ( HTTPS ) 失败 端口不同 ( 81 ) 失败 域名不同

本节介绍了DDoS高防（边缘云版）常见术语及其解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.cytun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.cytun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.cytun.cn，获得相同的内容。 CNAME域名 控制台添加完域名后，您会得到一个给您分配的CNAME域名（该CNAME域名假如是. ctyun.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的域名指向这个. ctyun.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云清洗的节点，达到清洗效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址存在对应关系，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

请求示例1 单机版：修改服务器hblock1的iSCSI目标门户IP和端口修改为：10.1.0.1和101，设置默认数据目录为：/mnt/storage01。 plaintext PUT /rest/v1/system/server/hblock1 HTTP/1.1 Date: Fri, 29 Jul 2022 09:12:25 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 270 Host: 192.168.0.69:1443 { "targetPortalIP": { "ips":[ { "ip":"10.1.0.1", "port":"101" } ], "status":"Enabled" }, "defaultPath":"/mnt/storage01" } 响应示例1 plaintext HTTP/1.1 204 No Content xhblockrequestid: facb844a44034035bd9254c7d901cfac Connection: keepalive Date: Fri, 29 Jul 2022 09:12:25 GMT Server: HBlock 请求示例2 集群版：修改服务器hblock1的iSCSI目标门户IP和端口修改为：10.1.0.1和101。 plaintext PUT /rest/v1/system/server/hblock1 HTTP/1.1 Date: Fri, 29 Jul 2022 09:00:33 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 221 Host: 192.168.0.121:1443 { "targetPortalIP": { "ips":[ { "ip":"10.1.0.1", "port":"101" } ], "status":"Enabled" } } 响应示例2 plaintext HTTP/1.1 204 No Content xhblockrequestid: cbe33ebab9ad46df9fe691b71585e230 Connection: keepalive Date: Fri, 29 Jul 2022 09:00:33 GMT Server: HBlock 请求示例3 修改服务器hblock1的端口范围为1950020500。 plaintext PUT /rest/v1/system/server/hblock1 HTTP/1.1 Date: Tue, 26 Sep 2023 06:45:38 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 39 Host: 192.168.0.121:1443 { "portRange":"1950020500" }

约束与限制 容器运行时限制：Docker、Containerd。 集群类型限制：CCE标准版、CCE Turbo版。 节点资源剩余要求：内存必须50MiB及以上，CPU必须200m及以上。 在集群上安装Agent时，HSS会在集群上创建HSS的命名空间。 安装步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3. 在左侧导航栏，选择“安装与配置 > 容器安装与配置”，进入“容器安装与配置”页面。 4. 在“集群”页签，单击“安装容器安全Agent”，弹出“容器资产接入与安装”对话框。 5. 选择“CCE集群安装”，并单击“开始配置”。 6. 勾选目标集群，并单击“下一步”。 7. 配置Agent相关参数。参数说明如下表示。 参数名称 参数说明 配置规则 选择Agent配置规则。 默认规则：容器运行时的sock地址为通用地址，Agent将默认安装在没有配置污点的节点上。 自定义规则：如果您的容器运行时sock地址非通用地址需要修改，或仅需要在指定的节点上安装Agent，可选择该规则。 说明 如果容器运行时的sock地址不正确，可能导致集群接入HSS后，部分HSS功能不能正常使用。 在进行容器运行时配置时，建议全选所有运行时类型。 高级配置（可选） 配置规则选择“自定义规则”时，支持配置。 单击展开所有高级配置项，“开启Agent自动升级”项，默认为展开状态。 开启Agent自动升级 是否开启Agent自动升级，勾选即开启，开启后，每日00:00～06:00，企业主机安全将自动升级低版本的Agent为最新版，以便为您提供更好的服务。 节点选择器配置 单击“引用节点标签”，可选择需要安装Agent的节点标签。不选择，默认在所有没有配置污点的节点上安装Agent。 容忍度配置 如果在进行“节点选择器配置”时，选择了污点节点标签，需要在该污点节点上安装Agent，可单击“引用节点污点”，选择容忍节点污点。 8. 配置完成，单击“确定”，开始安装HSS Agent。 9. 在集群列表中，查看集群状态为“运行中”，表示集群接入HSS成功。

本节给出部署HBlock集群版示例。 应用场景： 三台服务器 服务器1：IP地址为192.168.0.110，API端口号为1443，WEB端口号为2443，安装路径为/mnt/storage01（磁盘/dev/vdc），数据目录为/mnt/stor（磁盘/dev/vdd）、/mnt/storage02（磁盘/dev/vdb）。 服务器2：IP地址为192.168.0.192，API端口号为1443，WEB端口号为2443，安装路径为/mnt/storage01（磁盘/dev/vda），数据目录为/mnt/stor（磁盘/dev/vdd）。 服务器3：IP地址为192.168.0.102，API端口号为1443，WEB端口号为2443，安装路径为/mnt/storage01（磁盘/dev/vda），数据目录为/mnt/stor（磁盘/dev/vdd）。 创建卷：本地模式的卷lun01a，对应iSCSI Target为target01，卷容量为100G；缓存模式卷lun02a，对应iSCSI Target为target02，卷容量为200G；存储模式卷lun03a，对应iSCSI Target为target03，卷容量为300G。 缓存模式和存储模式卷对应的OOS存储桶为：hblocktest3。 HBlock系统名称为stor2，HBlock登录用户名为storuser，登录密码为hblock12@。 操作步骤 说明 以HBlock 4.0.0为例。 1. 完成以下准备工作 服务器1安装路径：/mnt/storage01，数据目录：/mnt/stor、/mnt/storage02。 服务器2安装路径：/mnt/storage01，数据目录：/mnt/stor。 服务器3安装路径：/mnt/storage01，数据目录：/mnt/stor。 OOS存储桶hblocktest3，AK/SK，前缀stor2。 2. 将安装包放到各个服务器的安装HBlock目录下并解压缩，进入解压缩后的文件夹。 plaintext [root@hblockserver storage01]

信息项 描述 类型 API类型： l 公开：选择“公开”类型时，API支持上架。 l 私有：选择“私有”类型时，当该API所在分组上架时，该API不会上架。 安全认证 API认证方式： l APP认证：表示由API网关服务负责接口请求的安全认证。推荐使用APP认证方式。 l IAM认证：表示借助IAM服务进行安全认证。 l 自定义认证：用户有自己的认证系统或服务（如使用OAuth认证），可选择“自定义认证”。 l 无认证：表示不需要认证。 注意 须知 认证方式为IAM认证时，任何API网关租户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为无认证时，任何公网用户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为自定义认证时，需要在函数服务中写一段函数，对接用户自己的认证系统或服务。如果当前Region没有上线 函数工作流服务 ，则不支持自定义认证。 支持简易认证 仅当“安全认证”选择“APP 认证”时可配置 。 简易认证指APP认证方式下调用API时，在HTTP请求头部消息增加一个参数XApigAppCode，而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 注意仅支持HTTPS方式调用，不支持HTTP方式。 说明 如果首次创建API未开启简易认证，那么之后开启简易认证，需要重新发布API。 支持双重认证 仅当“安全认证”选择“APP 认证”或“IAM 认证”时可配置 。 是否对API的调用进行双重安全认证。如果选择启用，则在使用APP认证或IAM认证对API请求进行安全认证时，同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置 。 自定义认证需要提前创建，可单击右侧的“新建自定义认证”链接创建。 支持跨域CORS 是否开启跨域访问CORS（crossorigin resource sharing）。 CORS允许浏览器向跨域服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS请求分为两类： l 简单请求：头信息之中，增加一个Origin字段。 l 非简单请求：在正式通信之前，增加一次HTTP查询请求。 开启CORS（非简单请求）时，您需要单独创建一个“请求方法”为“OPTIONS”的API。

信息项 描述 类型 API类型： l 公开：选择“公开”类型时，API支持上架。 l 私有：选择“私有”类型时，当该API所在分组上架时，该API不会上架。 安全认证 API认证方式： l APP认证：表示由API网关服务负责接口请求的安全认证。推荐使用APP认证方式。 l IAM认证：表示借助IAM服务进行安全认证。 l 自定义认证：用户有自己的认证系统或服务（如使用OAuth认证），可选择“自定义认证”。 l 无认证：表示不需要认证。 注意 须知 认证方式为IAM认证时，任何API网关租户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为无认证时，任何公网用户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为自定义认证时，需要在函数服务中写一段函数，对接用户自己的认证系统或服务。如果当前Region没有上线 函数工作流服务 ，则不支持自定义认证。 支持简易认证 仅当“安全认证”选择“APP 认证”时可配置 。 简易认证指APP认证方式下调用API时，在HTTP请求头部消息增加一个参数XApigAppCode，而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 注意仅支持HTTPS方式调用，不支持HTTP方式。 说明 如果首次创建API未开启简易认证，那么之后开启简易认证，需要重新发布API。 支持双重认证 仅当“安全认证”选择“APP 认证”或“IAM 认证”时可配置 。 是否对API的调用进行双重安全认证。如果选择启用，则在使用APP认证或IAM认证对API请求进行安全认证时，同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置 。 自定义认证需要提前创建，可单击右侧的“新建自定义认证”链接创建。 支持跨域CORS 是否开启跨域访问CORS（crossorigin resource sharing）。 CORS允许浏览器向跨域服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS请求分为两类： l 简单请求：头信息之中，增加一个Origin字段。 l 非简单请求：在正式通信之前，增加一次HTTP查询请求。 开启CORS（非简单请求）时，您需要单独创建一个“请求方法”为“OPTIONS”的API。

用户为某一监控指标创建自定义告警规则和通知 云监控服务提供的创建自定义告警功能，帮助用户对单个或多个相同云服务的单个监控指标创建告警规则，便于用户对该类服务的某一指标进行统一监控。 添加自定义告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 在“告警 > 告警规则”界面，单击“创建告警规则”。 4. 在“创建告警规则”界面，根据界面提示配置参数。 a.选择监控对象，根据界面提示配置参数，如表13所示。 表13配置参数 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 资源类型 配置告警规则监控的云服务资源名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：弹性云主机 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明：当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 资源分组不支持通过模板创建告警规则。 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 b.选择监控指标，选择“自定义创建”，参照表14完成参数配置。 表14 配置参数 参数 参数说明 取值样例 ::: 选择类型 选择自定义创建。 自定义创建 监控指标 例如： CPU使用率 该指标用于统计测量对象的CPU使用率，以百分比为单位。 内存使用率 该指标用于统计测量对象的内存使用率，以百分比为单位。 CPU使用率 告警策略 触发告警的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80% 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 发送通知 配置是否发送邮件、短信通知用户，可以选择“是” （推荐选择）或者“否”。 选择“否”，就不会发送邮件、短信通知用户，选择“是”，就需要选择已有的主题或者新建主题。 是 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。

本文简述天翼云边缘安全加速平台安全与加速服务支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云边缘安全加速平台安全与加速服务，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 分组加密/块加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 / RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

本文简述全站加速支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云全站加速，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

本文主要介绍云审计服务支持的DMS for Kafka操作列表。 通过云审计服务，您可以记录与分布式消息服务Kafka相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的DMS for Kafka操作列表 操作名称 资源类型 事件名称 创建DMS实例订单成功 kafka createDMSInstanceOrderSuccess 创建DMS实例任务执行成功 kafka createDMSInstanceTaskSuccess 创建DMS实例订单失败 kafka createDMSInstanceOrderFailure 创建DMS实例任务执行失败 kafka createDMSInstanceTaskFailure 删除创建失败的DMS实例成功 kafka deleteDMSCreateFailureInstancesSuccess 删除创建失败的DMS实例失败 kafka deleteDMSCreateFailureInstancesFailure 删除DMS实例任务执行成功 kafka deleteDMSInstanceTaskSuccess 删除DMS实例任务执行失败 kafka deleteDMSInstanceTaskFailure 批量删除DMS实例任务 kafka batchDeleteDMSInstanceTask 提交批量删除DMS实例请求成功 kafka batchDeleteDMSInstanceSuccess 批量删除DMS实例任务执行成功 kafka batchDeleteDMSInstanceTaskSuccess 提交批量删除DMS实例请求失败 kafka batchDeleteDMSInstanceFailure 批量删除DMS实例任务执行失败 kafka batchDeleteDMSInstanceTaskFailure 提交修改DMS实例订单请求成功 kafka modifyDMSInstanceOrderSuccess 提交修改DMS实例订单请求失败 kafka modifyDMSInstanceOrderFailure 提交扩容实例请求成功 kafka extendDMSInstanceSuccess 扩容DMS实例任务执行成功 kafka extendDMSInstanceTaskSuccess 提交扩容实例请求失败 kafka extendDMSInstanceFailure 扩容DMS实例任务执行失败 kafka extendDMSInstanceTaskFailure 提交重置DMS实例密码请求成功 kafka resetDMSInstancePasswordSuccess 提交重置DMS实例密码请求失败 kafka resetDMSInstancePasswordFailure 提交重启DMS实例请求成功 kafka restartDMSInstanceSuccess 重启DMS实例任务执行成功 kafka restartDMSInstanceTaskSuccess 提交重启DMS实例请求失败 kafka restartDMSInstanceFailure 重启DMS实例任务执行失败 kafka restartDMSInstanceTaskFailure 提交批量重启DMS实例请求成功 kafka batchRestartDMSInstanceSuccess 批量重启DMS实例任务执行成功 kafka batchRestartDMSInstanceTaskSuccess 提交批量重启DMS实例请求失败 kafka batchRestartDMSInstanceFailure 批量重启DMS实例任务执行失败 kafka batchRestartDMSInstanceTaskFailure 提交修改DMS实例信息请求成功 kafka modifyDMSInstanceInfoSuccess 修改DMS实例信息任务执行成功 kafka modifyDMSInstanceInfoTaskSuccess 提交修改DMS实例信息请求失败 kafka modifyDMSInstanceInfoFailure 修改DMS实例信息任务执行失败 kafka modifyDMSInstanceInfoTaskFailure 删除后台任务成功 kafka deleteDMSBackendJobSuccess 删除后台任务失败 kafka deleteDMSBackendJobFailure 冻结DMS实例任务执行成功 kafka freezeDMSInstanceTaskSuccess 冻结DMS实例任务执行失败 kafka freezeDMSInstanceTaskFailure 解冻DMS实例任务执行成功 kafka unfreezeDMSInstanceTaskSuccess 解冻DMS实例任务执行失败 kafka unfreezeDMSInstanceTaskFailure Kafka专享实例创建Topic成功 kafka KafkacreatetopicSuccess Kafka专享实例创建Topic失败 kafka KafkacreatetopicFailure Kafka专享实例删除Topic成功 kafka KafkadeletetopicsSuccess Kafka专享实例删除Topic失败 kafka KafkadeletetopicsFailure 开启自动创建Topic成功 kafka enableautotopicSuccess 开启自动创建Topic失败 kafka enableautotopicFailure 重置消费组偏移量成功 kafka KafkaresetconsumeroffsetSuccess 重置消费组偏移量失败 kafka KafkaresetconsumeroffsetFailure 创建用户成功 kafka createUserSuccess 创建用户失败 kafka createUserFailure 删除用户成功 kafka deleteUserSuccess 删除用户失败 kafka deleteUserFailure 更新用户策略成功 kafka updateUserPoliciesTaskSuccess 更新用户策略失败 kafka updateUserPoliciesTaskFailure

冻结、解冻、释放数据库资源对业务有什么影响 几种情况对业务的影响分别如下： 资源冻结时：资源将被限制访问和使用，会导致正在进程的业务中断，同时用户无法再连接到数据库实例。数据库资源被冻结后，会限制变更操作，但可以手动来进行退订操作。 资源解冻时：资源将被解冻，用户可以重新使用至数据库资源。 资源释放时：资源将被释放，实例将被删除。 怎么续费 包年/包月购买的数据库实例到期后，请在管理控制台实例管理页面进行续费操作。详细操作请参考“计费说明”中的产品续订与退订。 资源被释放后能恢复吗/退订错了可以找回吗 数据库资源到期或退订后，如果有回收站备份，可以通过回收站的备份重建实例，否则资源被释放后无法进行恢复。 退订数据库资源无法找回。退订数据库资源前需要请进行仔细确认相关信息。 为什么MySQL实例停止后，还在继续计费 关系数据库MySQL版实例停止后，使用虚拟机（VM）、数据占用的存储资源将停止计费，但其余资源包括弹性公网IP（EIP）、备份使用的存储资源和数据库代理等仍会正常计费。 如何删除MySQL实例 如果是非运行中的数据库实例不能进行删除（例如创建中、重启中、扩容中、参数设置中、备份恢复中等操作），只有运行中的数据库实例才能进行删除。 删除数据库实例可以在管理控制台对数据库实例进行退订操作，详细操作请参考“计费说明”中的产品续订与退订。

本节介绍Web应用防火墙（独享版）网站接入配置的域名/端口问题。 添加域名时，防护网站端口需要和源站端口配置一样吗？ 端口为实际防护网站的端口，源站端口是WAF转发客户端请求到服务器的业务端口。两者不用配置为一样，端口配置说明如下： “对外协议”选择“HTTP”时，WAF默认防护“80”标准端口的业务；“对外协议”选择“HTTPS”时，WAF默认防护“443”标准端口的业务。 多个端口的服务器，如果某个端口不需要WAF防护，如何处理？ 防护网站是通过域名+端口方式接入WAF进行防护的。在添加防护域名时，您只需要配置域名+需要防护的端口即可。防护网站接入WAF后，流量不会通过其他端口转发到WAF。 删除防护域名时应该注意哪些事项？ 删除网站的具体的操作请参见删除防护域名，删除网站前的注意事项如下： 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 域名添加到WAF后，域名是否可以修改？ 防护域名添加到WAF后，您不能修改防护域名的名称。如果您需要修改防护域名的名称，建议您删除原域名后再重新添加待防护的域名。 多个域名对应同一源站，Web应用防火墙可以防护这些域名吗？ 可以。不同域名对应同一个源站时，您可以将这些域名都接入WAF进行防护。 WAF的防护对象是域名或IP，如果是多个域名使用了同一个EIP对外提供服务，必须将多个域名都接入WAF才能对所有域名进行防护。

操作 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“网页防篡改”配置框中，用户可根据自己的需要更改“状态”，单击“自定义网页防篡改”，进入网页防篡改规则的配置页面。 步骤7 在“网页防篡改”规则的配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，添加网页防篡改规则，参数说明如表所示。 参数说明 参数 参数说明 取值样例 ::: 域名 设置防篡改的域名。 www.example.com 路径 设置防篡改的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/” /admin 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认添加”，添加的网页防篡改规则展示在网页防篡改规则列表中。

本节介绍同时使用WAF独享版、云防火墙防护业务时WAF侧的网络配置。 （必选）步骤一：添加WAF独享管理地址通信路由 注意 该步骤用于保障WAF节点升级及系统升级，如果不添加则可能会导致WAF无法正常使用。 自研池路由表优先级>EIP，因此需要确认WAF所在子网的路由表将WAF管理地址指向IPv4网关。 如果默认路由指向IPv4网关则无需执行此步骤。（默认可以加上没有其他影响。） 如果默认路由未指向IPv4网关则需要执行此步骤。 1. 进入虚拟私有云，查看VPC及子网信息。 2. 进入子网详情，查看绑定路由表信息。 3. 新建两条路由，将WAF管理内网地址指向IPv4网关。 4. 添加完成后，可以看到路由表有两条新增规则。 步骤二：给WAF实例新增网卡 该步骤用于代理防火墙与业务之间的网络，新增网卡需指定在防火墙内网接口所在子网。 1. 进入独享引擎详情，新增辅助网卡。 2. 选择所在子网，然后单击“确定”。 说明 根据客户业务状况进行选择，通常选择和防火墙内网接口地址的同一网段。 3. 添加完毕后可以看到辅助网卡，且没有任务下发中的提示，则表示WAF侧添加完成。 辅助网卡内的虚拟IP为实际WAF对外IP，即防火墙需要转发到该虚拟IP。

本文为您介绍WAF接入配置的最佳实践。 将网站域名接入Web应用防火墙（原生版），能够帮助您的网站防御OWASP常见Web攻击和恶意CC攻击流量等，避免网站遭到入侵导致数据泄露，全面保障您网站的安全性和可用性。您可以参考接入配置最佳实践，在各类场景中使用WAF更好地保护您的网站。 说明 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。当前云WAF提供CNAME接入模式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 网站接入WAF准备工作 在将网站业务接入WAF前，您需要完成以下准备工作： 所需接入的网站域名清单，包含网站的源站服务器IP、端口信息等。 所接入的网站域名必须已完成备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含扩展名为PEM/CRT/CER的证书文件、扩展名为PEM/KEY的私钥文件，文件内容均需为PEM编码格式。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。