接口功能介绍 以主机维度基线事件列表 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/sca/event/host// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 currentNum 是 Integer pageSize 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 scaName 否 String 基线名称 Unix系统基线检测 agentGuid 是 String agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 id String 业务id 一级列表[基线模板文件名] 二级列表[agentGuid] 三级列表[检测id] CtyunLinuxBenchmarkTemplate.json failed Integer 检测项未通过数 1 itemTotal Integer 检测项总数 1 file String 基线检测文件名 CtyunLinuxBenchmarkTemplate.json passed Integer 检测项通过数 1 totalChecks Integer 检测项总数 1 strategyId Integer 策略id 1 timestamp String 扫描时间 20200101 00:00:00 scaId Integer 基线模板id 1 name String 基线模板名称 天翼云Linux操作系统安全配置基线 agentGuid String agentGuid testagentguid riskInfo Array of Objects 风险信息，按等级分类统计 [{"riskLevel":1,"riskCount":1}] riskInfo 表 riskInfo 参数 参数类型 说明 示例 下级对象 riskLevel Integer 风险等级 1低危 2中危 3高危 1 riskCount Integer 风险数量 1

区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

2、创建持久卷声明（PVC） 进入主菜单“存储”——“持久卷声明”，单击左上角“创建持久卷声明”； 在创建对话框，配置持久卷声明PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和本地存储，这里选择并行文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 是否指定存储类 在动态创建的场景下，需要指定存储类，并且选择上一步创建的存储类。 是否指定存储卷 在动态创建的场景下，无需指定存储卷。 容量 可以根据需求自定义容量，最小容量为512GB 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建 。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。 3、创建工作负载 1. 登录“云容器引擎”管理控制台； 2. 在集群列表页点击进入指定集群； 3. 进入主菜单“工作负载”——“有状态”，单击左上角“创建SatefulSet”； 4. 在创建对话框，数据存储栏中，选择添加存储卷，卷类型选择“已有存储卷申明（PVC）”，操作栏选择“选择已有存储申明”；根据自己需要设置挂载路径、子路径和权限， 参数说明： 挂载路径：存储挂载到容器后，容器内部显示的路径地址。不建议使用类似于/usr或者/tmp类似的已有的容器目录路径，可能会造成目录相互遮蔽。 子路径：需要挂载的存储源地址的子目录 权限：读写/只读； 示例：将PVC“hpfs”对应存储的subpath指向的子目录（subpath为空表示使用根目录），挂载到容器里的/test路径上 5. 所有的信息都配置完成后，单击“提交”，创建成功后，您就可以正常使用数据卷。

本文介绍弹性伸缩设置。 弹性伸缩能够根据业务需求的变动经济地调整弹性计算资源。容器引擎服务目前主要提供扩缩容Pod个数的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），并支持自动伸缩策略配置及手动伸缩两种触发方式，以应对业务高峰时期，提高业务处理能力，从而保证业务能够正常提供服务。 弹性伸缩设置 容器引擎平台目前支持设置应用级别的伸缩策略，用于容器组（Pod）的弹性伸缩，通过设置伸缩指标可实现自动弹性伸缩。以无状态应用为例，其它应用操作步骤一致。用户可通过应用列表的【伸缩】操作进入配置界面，也可以通过应用详情页的【伸缩】页签进入配置界面。 操作步骤 1.点击控制导航栏【工作负载】>【无状态】，进入无状态应用列表界面，选择需要设置伸缩策略的应用名称，点击进入应用详情页； 2.在应用详情页，点击【伸缩】页签，切换到伸缩策略配置界面，点击【添加伸缩策略】，将弹出伸缩策略设置界面； 3.依次完成【策略名称】、【策略类型】及【指标】等信息的选择与填写，各参数详情参考下表： 参数 参数说明 :: 策略名称 输入策略的名称，伸缩策略名称必须符合163个字符，由小写字母、数字、横线（）和点（.）组成， 且必须以字母和数字开头结尾 策略类型 选择自动伸缩策略类型，目前支持告警策略，告警策略基于检测的告警数据进行判断触发应用伸缩。 根据设定的监控周期，周期性的去判断指标是否满足触发条件，且连续n个周期都满足触发条件，将会执行操作。 指标 指标包括cpu使用率、物理内存使用率两种。触发条件为触发伸缩条件的阈值，高于所设阈值则扩展， 低于所设阈值则收缩 触发条件 设置触发指标的阈值，单位为% 最大实例数 伸缩时允许达到的最大实例数，最大值为100 最小实例数 伸缩时允许达到的最小实例数，最小可设置为1 4.设置完成后，下方记录设置的伸缩策略，并记录该策略触发的事件，同时可通过【修改】>【删除】操作，对已配置的伸缩策略进行修改。

DCS实例配置建议 连接池化 因lettuce底层采用基于netty的NIO模式，和redis server进行通信，不同于jedis的BIO模式。底层采用长连接 + 队列的组合模式，借助TCP顺序发、顺序收的特性，来实现同时处理多请求发送和多响应接收，单条连接可支撑的QPS在3K~5K不等，线上系统建议不要超过3K。lettuce本身不支持池化，且在springboot中默认不开启池化，如需开启池化，需通过手动引入commonspool2组件，并关闭LettuceConnectionFactory.shareNativeConnection（共享连接）来实现池化。 因每条lettuce连接默认需要配置两个线程池I/O thread pools、computation thread pool，用于支撑IO事件读取和异步event处理，如配置成连接池形式使用，每个连接都将会创建两个线程池，对内存资源的占用偏高。鉴于lettuce的底层模型实现，及单连接突出的处理能力，不建议通过池化的方式使用lettuce。 拓扑刷新 在连接cluster类型实例中，lettuce会在初始化时，向配置的节点列表随机发送cluster nodes来获取集群slot的分布信息。如后续cluster扩/缩容、主备切换等，会导致集群拓扑结构发生变化， lettuce默认是不感知的，需手动开启主动感知拓扑结构变化， 如下： − 基于application.properties配置 开启自适应拓扑刷新 spring.redis.lettuce.cluster.refresh.adaptivetrue 开启每10s定时刷新拓扑结构 spring.redis.lettuce.cluster.refresh.period10S − 基于API配置 ClusterTopologyRefreshOptions topologyRefreshOptions ClusterTopologyRefreshOptions.builder() .enableAllAdaptiveRefreshTriggers() .enablePeriodicRefresh(Duration.ofMillis(redisClusterTopologyRefreshPeriodMillis)) .build(); ClusterClientOptions clientOptions ClusterClientOptions.builder() ... ... .topologyRefreshOptions(topologyRefreshOptions) .build(); 爆炸半径 因lettuce底层采用的是单长连接 + 请求队列的组合模式，一旦遇到网络抖动/请求，或连接失活，将影响所有请求，尤其是在连接失活场景中，将尝试tcp重传，直至重传超时关闭连接，待连接重建后才能恢复。在重传期间请求队列会不断堆积请求，上层业务非常容易出现批量超时，甚至在部分操作系统内核中的重传超时配置过长，致使业务系统长时间处于不可用状态。因此， 不推荐使用lettuce组件，建议用jedis组件替换 。

本文介绍在应用托管中如何配置组件的弹性伸缩策略。 概述 应用托管平台支持通过监控指标自动对组件的部署资源进行弹性伸缩，在满足业务需求的同时优化算力成本。适用于突发流量和典型周期性流量的应用场景。 说明：当前支持CPU使用率、内存使用率和加速卡使用率三种监控指标。 前提条件 已在平台部署应用实例，且目标应用实例当前处于正常运行状态（非异常/故障状态）。 操作步骤 1. 登录应用托管控制台，在左侧导航栏单击【应用实例】，在应用实例列表页，找到需要配置弹性伸缩策略的目标应用实例，进入应用详情，在详情页左侧选中需要配置弹性伸缩的组件，单击顶部【弹性伸缩】页签。 2. 在进入弹性伸缩操作页面后，可以查询实例的各指标变化趋势。 说明：平台保存90天的监控数据，单次查询时间范围不超过7天。 3. 根据实例历史监控指标，配置弹性伸缩策略，单击目标弹性伸缩策略的【编辑】按钮。 4. 在弹出的弹性伸缩面板，配置以下参数信息。 参数 说明 示例 策略名称 自定义策略名称 defaultpolicy 触发条件 选择指标类型： CPU使用率 内存使用率 加速卡使用率 说明 指标类型的聚合方式，请参见控制台说明 您可以同时设置多个指标类型 CPU使用率 触发条件 设置指标触发阈值：当指标实际值持续达到 / 超过（或低于）该阈值时触发策略 80% 最小实例数 弹性伸缩的最低保障实例量，缩容时实例数不会低于此值 最小实例数：1 最大实例数 弹性伸缩的最高可扩容实例量，扩容时实例数不会超过此值 最大实例数：10 5. 策略配置完成后，单击弹性伸缩策略的【启用】按钮，启用策略。 6. 可查看扩缩容事件，验证弹性策略效果。 7. 停用弹性伸缩策略，单击弹性伸缩策略的【停用】按钮，停用策略。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：目标占用率，例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到磁盘填充动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测磁盘使用率指标。 2、业务应用验证： 检查运行在目标节点上的业务 Pod 的日志，确认是否存在因“设备上没有剩余空间”（No space left on device）而导致的错误。 测试依赖磁盘写入的功能（如日志记录、文件上传、数据持久化到 emptyDir 卷等），确认其是否按预期失败或触发了正确的降级逻辑。 验证您的磁盘空间监控告警是否被成功触发。 执行 kubectl describe node [节点名称]，查看 Conditions 中是否出现 DiskPressure 状态，以及是否有 Pod 被 kubelet 驱逐（Evicted）的事件记录。

目标库要求 目标数据库的blocksize参数值必须大于或等于源库中的对应参数值。 目标数据库和源数据库的lcmonetary参数值一致。 若要做增量同步，且同步对象包含外键、触发器或事件触发器，则目标数据库的sessionreplicationrole参数必须设置为replica，同步结束后，此参数需改为origin。 目标库不可以包含与待同步对象类型相同且名称相同的对象，包括模式、表、序列等，否则任务可能出差。系统库、系统模式、系统表等除外。 选择表级对象迁移时，增量迁移过程中不建议对表进行重命名操作。 对于全量+增量和增量任务，启动前请确保源库中未启动长事务，启动长事务会阻塞逻辑复制槽的创建，进而引发任务失败。 若选择同步DDL，须注意源库执行DDL时，确保在目标库上是兼容的。 目标数据库关联RDS实例必须有足够的磁盘空间，磁盘大小建议取以下两种中的最小值: 源库待迁移数据量大小的1.5倍。 源库待迁移数据量大小加200GB。 操作须知 双向同步是在全量同步完成后才开始进行，全量同步完成之前，目标库只能读不能写，否则会导致源库与目标库数据不一致。待全量同步完成后，目标库可读可写。 DTS为了防止双向回环同步，会在源库和目标库分别创建回环标记表public.ctyuncirclecheck，请勿操作此表。 冲突检测 正向和反向都可以选择如下冲突修复策略，DTS根据用户配置的冲突修复策略进行冲突的检测和处理： TaskFailed（遇到冲突，任务报错退出）。 当数据同步遇到冲突时，同步任务直接报错并退出，同步任务进入失败状态，需要您介入修复任务。 Ignore（遇到冲突，直接使用目标实例中的冲突记录）。 当数据同步遇到冲突时，直接跳过当前同步语句，继续往下执行，选择使用目标库中的冲突记录。 Overwrite（遇到冲突，直接覆盖目标实例中的冲突记录）。 当数据同步遇到冲突时，直接覆盖目标库中的冲突记录。 说明 如果同步任务暂停或者重启后存在延迟，在延迟期间，这些策略均不生效，默认覆盖目标端数据。

2、创建持久卷声明（ PVC ） 进入主菜单“存储”——“持久卷声明”，单击左上角“创建持久卷声明”； 在创建对话框，配置持久卷声明PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择弹性文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 是否指定存储类 在动态创建的场景下，需要指定存储类，并且选择上一步创建的存储类。 是否指定存储卷 在动态创建的场景下，无需指定存储卷。 容量 可以根据需求自定义容量。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。 3 、创建工作负载 1. 登录“云容器引擎”管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“工作负载”——“有状态”，单击左上角“创建SatefulSet”。 4. 在创建对话框，数据存储栏中，选择添加存储卷，卷类型选择“已有存储卷申明（PVC）”，操作栏选择“选择已有存储申明”；根据自己需要设置挂载路径、子路径和权限。 参数说明： 挂载路径：存储挂载到容器后，容器内部显示的路径地址。不建议使用类似于/usr或者/tmp类似的已有的容器目录路径，可能会造成目录相互遮蔽。 子路径：需要挂载的存储源地址的子目录 权限：读写/只读 示例：将PVC“sfs”对应存储的subpath指向的子目录（subpath为空表示使用根目录），挂载到容器里的/ccsetest路径上。 5. 所有的信息都配置完成后，单击“提交”，创建成功后，您就可以正常使用数据卷。 通过kubectl命令行使用弹性文件动态存储卷

9、启动VPN 调用SdkStartVPN方法启动Vpn / 方法名: SdkStartVPN 描述：这个方法用于Sdk VPN的启动 使用前置条件：需要先调用SdkInit 使用线程: 主线程 回调线程: 主线程 使用方法: AOneSdkClient.Companion.SdkStartVPN(new AOneSdkClient.Companion.SdkCallBack() { @Override public void onResponse(@NonNull Map map) { } }); 参数说明: 接口回调数据: 回调后的数据类型是map类型, 成功回调示例: {code"0x00000", data{}, message成功} 失败回调示例:{code"0x00999", data{}, message未知错误} 接口回调数据字段说明: code: 状态码, data: 数据, message: 消息 / public void startVpn(View view) { HashMap params new HashMap<>(); AOneSdkClient.Companion.SdkStartVPN(this, params, new AOneSdkClient.Companion.SdkCallBack() { @Override public void onResponse(@NonNull Map map) { Log.i(TAG, "[startVpn] response: " + map); Log.i(TAG, "threadid:" + Thread.currentThread().getName()); String code map.get(Const.RESPONSE.CODE); String message map.get(Const.RESPONSE.MESSAGE); if (ResultCode.SUCCESS.getValue().equals(code)) { Toast.makeText(MainActivity.this, getText(R.string.initsuccess), Toast.LENGTHSHORT).show(); } else { Toast.makeText(MainActivity.this, message, Toast.LENGTHSHORT).show(); } } }); } 10、停止Vpn 在用户点击Vpn停止的事件上，调用SdkStopVPN方法停止Vpn，注意这里停止Vpn的条件是先调用SdkStartVPN且Vpn状态要在Connect状态 / 方法名: SdkStopVPN 描述：这个方法用于Sdk VPN的停止 使用前置条件：需要先调用SdkStartVPN且Vpn状态要在Connect状态 使用线程: 主线程 回调线程: 主线程 使用方法: AOneSdkClient.Companion.SdkStopVPN(new AOneSdkClient.Companion.SdkCallBack() { @Override public void onResponse(@NonNull Map map) { } }); 参数说明: 接口回调数据: 回调后的数据类型是map类型, 成功回调示例: {code"0x00000", data{}, message成功} 失败回调示例:{code"0x00999", data{}, message未知错误} 接口回调数据字段说明: code: 状态码, data: 数据, message: 消息 / public void stopVpn(View view) { HashMap params new HashMap<>(); AOneSdkClient.Companion.SdkStopVPN(this, params, new AOneSdkClient.Companion.SdkCallBack() { @Override public void onResponse(@NonNull Map map) { Log.i(TAG, "[startVpn] response: " + map); Log.i(TAG, "threadid:" + Thread.currentThread().getName()); String code map.get(Const.RESPONSE.CODE); String message map.get(Const.RESPONSE.MESSAGE); if (ResultCode.SUCCESS.getValue().equals(code)) { Toast.makeText(MainActivity.this, getText(R.string.initsuccess), Toast.LENGTHSHORT).show(); } else { Toast.makeText(MainActivity.this, message, Toast.LENGTHSHORT).show(); } } }); }

管理员配置手机令牌认证 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 用户管理”，进入用户管理页面。 3. 找到已绑定手机令牌的用户，单击用户登录名，进入用户详情页面。 4. 在“用户配置”区域，单击“编辑”，弹出用户的登录配置窗口。 5. 勾选“手机令牌”多因子认证项。 6. 单击“确定”，完成用户配置。 用户再次登录系统时，手机令牌登录认证生效。 配置USBKey登录 uToken是基于USBKey实现的OTP动态密码技术。配置USBKey认证后，登录系统时需接入USBKey，登录页面自动识别唯一关联USBKey，输入相应PIN码，才能通过身份认证。 约束限制 目前云堡垒机可识别世纪龙脉、北京CA和吉大正元厂商的USBKey，不同的厂商USBKey不能相互识别登录认证。需根据申购的USBKey3.5.6 配置USB Key厂商厂商。 一个USBKey仅能签发给一个用户使用。 前提条件 已申购USBKey，并在本地安装对应的USBKey驱动。 配置USBKey认证 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 用户管理”，进入用户管理页面。 3. 找到目标用户，单击用户登录名，进入用户详情页面。 4. “用户配置”区域，单击“编辑”，弹出用户的登录配置窗口。 5. 勾选“USBKey”多因子认证项。 6. 单击“确定”，完成用户多因子认证配置。 签发USBKey 1. 管理员登录云堡垒机系统。 2. 选择“用户 > USBKey”，进入USBKey列表页面。 3. 单击“签发”，新建签发USBKey。 4. 配置“关联用户”，选择已经开启USBKey多因子认证的用户。 签发USBKey参数说明 参数 说明 :: USBKey USBKey商品标识码。 关联用户 选择已配置“USBKey”多因子认证的用户帐号。 PIN码 USBKey厂商提供，与“USBKey”一一对应的唯一识别码。 5. 单击“确定”，在USBKey列表查看已签发USBKey信息。 关联用户登录云堡垒机系统时，连接签发的USBKey到本地主机，登录界面会自动识别USBKey，选择对应的USBKey，并输入PIN码，即可完成USBKey登录认证。 配置动态令牌登录 动态口令是基于事件同步的令牌实现的OTP动态密码技术。配置动态令牌认证后，登录系统时需输入静态密码和6位硬件令牌动态密码，才能通过身份认证。

本文介绍云搜索服务和天翼云官网其他产品之间的关联关系。 相关服务 交互功能 虚拟私有云（CTVPC，Virtual Private Cloud） 云搜索服务在购买前需要提前开通虚拟私有云，实例将建立在同资源池下指定的子网内，VPC之间网络隔离，可为用户提供安全的网络环境。详细请参考虚拟私有云产品文档。 弹性云主机（CTECS，Elastic Cloud Server） 云搜索服务的每个实例节点即为一台弹性云主机，创建实例时会根据购买需求自动下单对应数量，主要提供计算分析服务。 云硬盘（CTEVS，Elastic Volume Service） 云搜索服务使用云硬盘存储用户的索引数据，创建实例时会根据购买需求将云硬盘自动挂载在对应节点。 弹性IP（EIP，Elastic IP） 云搜索服务如需要开放公网访问，需要购买弹性IP或IPv6带宽并绑定到实例对应组件上。详细请参考弹性IP产品文档。 对象存储服务（CTZOS，Zettabyte Object Storage） 云搜索服务的实例快照及所需要安装的自定义插件均需要开通对象存储服务，进行存储和读取。详细请参考对象存储服务产品文档。 弹性负载均衡（CTELB ，Elastic Load Balancing） 云搜索服务的实例需要分流访问流量时，可以通过购买负载均衡类产品，对接到云搜索实例上，实现后端主机分流访问。详细请参考弹性负载均衡服务产品文档。 云监控服务 云搜索服务集成公有云云监控服务能力，实时监测集群健康状态和磁盘使用率等核心指标，保障服务稳定运行。用户可通过监控数据及时掌握集群资源状况。详细请参考云监控服务产品文档。 云日志服务 云搜索服务将组件运行期间的日志写入云日志服务中，用户可通过查看日志排查实例运行问题。详细请参考云日志服务产品文档。 云审计 云审计全面记录云搜索服务的核心操作事件，支持操作历史查询与审计回溯。详细请参考云审计产品文档。 统一身份认证服务（Identity and Access Management，简称IAM） 云搜索服务使用天翼云官网统一身份认证服务进行身份鉴权。详细请参考统一身份认证服务产品文档。

方案简述 对于需要在展会期间满足观众扫码小程序即可连接云端，通过高稳定、低延迟串流技术体验应用音视频流，云渲染团队协助客户在展会前快速部署应用、调试应用、接入小程序，为满足客户高算力需求，云渲染团队联合CDN团队借助内容分发网络部署分布式边缘节点，分担源站压力，减轻网络带来的延迟，保障线上客户全国区域都能拥有最优体验，实现秒级接入。 接入说明 本文以青春云展馆应用为例，和您说明如何通过云渲染平台能力将您的应用接入小程序。 步骤 1. 使用 jssdk 开发，打包成 html 部署到线上(生产环境需要域名解析)； 2. 微信小程序通过 webview 嵌入 html 地址(域名链接)； 3. 开发 html 时候，微信(小程序)环境需要注意监听 WeixinJSBridgeReady 事件，然后开始对接 jssdk。 shell 代码示例 window.addEventListener("DOMContentLoaded", () > { if ( navigator.userAgent.includes("miniProgram") navigator.userAgent.includes("MicroMessenger") ) { //微信浏览器/微信小程序环境 document.addEventListener("WeixinJSBridgeReady", bootstrap, false); } else { bootstrap(); } }); 方案优势 元宇宙家园应用需要在线接入直播视频流，天翼云实时云渲染提供应用端口通信能力，可通过数据通道实现客户端与云端运行的应用直接进行通信，加强应用实时交互能力。 大规模 云渲染全国多点已建设公有云集群，已具备GPU服务器超大规模支持算力分时复用，资源利用率进一步提升，解放重资产建设要求，按需付费节省成本。 多交互 元宇宙家园应用需要在线接入直播视频流，天翼云实时云渲染提供应用端口通信能力，可通过数据通道实现客户端与云端运行的应用直接进行通信，加强应用实时交互能力。 高可用 天翼云实时云渲染底层资源基于天翼云ECX智能边缘云，通过Kubernetes集群监控能力，保证客户展会期间节点与服务组件24小时稳定运行，链接异地展会观众、游客线上任何时间、地点极致的访问体验。 低门槛 基于JSSDK能力，天翼云实时云渲染还能够轻松实现渲染页面二次开发，快速部署接入，创意H5趣味交互增强数字展会虚拟体验。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：目标占用率，例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到磁盘填充动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测磁盘使用率指标。 2、业务应用验证： 检查运行在目标节点上的业务 Pod 的日志，确认是否存在因“设备上没有剩余空间”（No space left on device）而导致的错误。 测试依赖磁盘写入的功能（如日志记录、文件上传、数据持久化到 emptyDir 卷等），确认其是否按预期失败或触发了正确的降级逻辑。 验证您的磁盘空间监控告警是否被成功触发。 执行 kubectl describe node [节点名称]，查看 Conditions 中是否出现 DiskPressure 状态，以及是否有 Pod 被 kubelet 驱逐（Evicted）的事件记录。

普通集成是指云工作流通过天翼云开放平台OpenAPI直接调用云产品对外提供的服务接口，未经特殊处理或优化。云工作流可通过调用弹性计算、存储服务、数据库、容器等多个天翼云服务的接口，实现业务流程编排。本文介绍普通集成的操作步骤和支持普通集成的天翼云服务列表。 操作步骤 本文以集成天翼云对象存储（zos）的getOssServiceStatus API为例，说明普通集成的操作流程，具体步骤如下： 1. 登录云工作流控制台 打开云工作流控制台，在顶部菜单栏选择目标地域。 2. 创建工作流 在工作流列表页面，单击创建工作流。 3. 配置工作流 在弹出的创建工作流对话框中： 选择使用空白画布。 选择工作流模式（标准或快速）。 设置工作流名称和描述。 4. 设置流程参数 在云工作流设计器： 单击工作流配置，选择或设置流程执行角色。 若已创建IAM角色，可直接选择已有角色。 若首次使用，创建IAM角色并授权，详见创建执行角色。 5. 配置任务 在工作流设计器界面： 在任务浏览区的操作 页签找到目标API（如zos:getOssServiceStatus），拖曳至流程图。 在右侧基本配置区设置参数，填入Query变量。 保存工作流，生成的yaml示例代码如下： plaintext specVersion: "0.8" version: "1.0" name: "commonintergration" start: "getOssServiceStatus" states: name: "getOssServiceStatus" type: "Operation" actions: functionRef: type: "ctapi" arguments: statusType: "zos:getOssServiceStatus" ctapictrn: "zos:global:getOssServiceStatus:9262" capacityId: 9262 method: "GET" path: "/v4/oss/getossservicestatus" queryParameters: regionID: "bb9fdb42056f11eda1610242ac110002" body: {} actionExecuteMode: "RequestComplete" end: true 字段解析： type ：固定为ctapi，表示使用普通集成方式。 statusType ：调用的API名称，如zos:getOssServiceStatus，用于查询zos开通状态。 ctapictrn：自动生成字段，集成服务的标准ctrn。 method：调用的API方法。 path：调用的API路径。 actionExecuteMode ：集成模式，默认为RequestComplete，详见服务集成模式。 6. 执行工作流 单击右上角执行 ，然后单击启动执行 ，在执行工作流面板中填写执行名称和输入参数。 单击确定开始执行。 7. 查看执行结果 执行成功后，在执行记录进入执行详情，查看事件信息和执行结果。

任务开始前 源库要求 源数据库的分区表触发器不可以设置为disable。 全量同步支持源库备机状态，但需要设置hotstandbyfeedback为on；增量同步不支持源库备机状态。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。 若要做增量同步，源数据库的“pghba.conf” 文件中包含如下的配置： host replication all 0.0.0.0/0 md5源数据库参数wallevel必须配置为logical； 如果配置任务时逻辑解码指定为Decoderbufs，源数据库需提前安装Decoderbufs插件； 源数据库中无主键表的replica identity属性必须为full； 源数据库的maxreplicationslots参数值必须大于当前已使用的复制槽数量； 源数据库的maxwalsenders参数值必须等于或大于maxreplicationslots参数值； 源数据库中表的主键列toast属性为main、external、extended时，其replica identity属性必须为full。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。 目标库要求 目标数据库的blocksize参数值必须大于或等于源库中的对应参数值。 目标数据库和源数据库的lcmonetary参数值一致。 若要做增量同步，且同步对象包含外键、触发器或事件触发器，则目标数据库的sessionreplicationrole参数必须设置为replica，同步结束后，此参数需改为origin。 目标库不可以包含与待同步对象类型相同且名称相同的对象，包括模式、表、序列等，否则任务可能出差。系统库、系统模式、系统表等除外。 选择表级对象同步时，增量同步过程中不建议对表进行重命名操作。 对于全量+增量和增量任务，启动前请确保源库中未启动长事务，启动长事务会阻塞逻辑复制槽的创建，进而引发任务失败。 若选择同步DDL，须注意源库执行DDL时，确保在目标库上是兼容的。 目标数据库关联RDS实例必须有足够的磁盘空间，磁盘大小建议取以下两种中的最小值: 源库待同步数据量大小的1.5倍。 源库待同步数据量大小加200GB。

本页为其他云PostgreSQL迁移到RDS for PostgreSQL的具体操作流程。 1、操作须知 DTS迁移或同步过程一般包含四个阶段：预检查阶段、结构同步阶段、全量阶段、增量阶段。为了确保同步各个阶段的平顺，在创建同步任务前，请务必阅读以下使用须知。 任务开始前 源库要求 源数据库的分区表触发器不可以设置为disable。 全量迁移支持源库备机状态，但需要设置hotstandbyfeedback为on；增量迁移不支持源库备机状态。 若要做增量迁移：源数据库的“pghba.conf” 文件中包含如下的配置：host replication all 0.0.0.0/0 md5源数据库参数wallevel必须配置为logical；源数据库需提前安装Decoderbufs插件；源数据库中无主键表的replica identity属性必须为full；源数据库的maxreplicationslots参数值必须大于当前已使用的复制槽数量；源数据库的maxwalsenders参数值必须等于或大于maxreplicationslots参数值。源数据库中表的主键列toast属性为main、external、extended时，其replica identity属性必须为full。 迁移对象依赖和关联的对象也须一起迁移，否则可能导致任务失败。 目标库要求 目标数据库的blocksize参数值必须大于或等于源库中的对应参数值。 目标数据库和源数据库的lcmonetary参数值一致。 若要做增量迁移，且迁移对象包含外键、触发器或事件触发器，则目标数据库的sessionreplicationrole参数必须设置为replica，迁移结束后，此参数需改为origin。 目标库不可以包含，与待迁移对象类型相同且名称相同的对象，包括模式、表、序列等，否则任务可能出差。系统库、系统模式、系统表等除外。 选择表级对象迁移时，增量迁移过程中不建议对表进行重命名操作。 对于全量+增量和增量任务，启动前请确保源库中未启动长事务，启动长事务会阻塞逻辑复制槽的创建，进而引发任务失败。 若选择迁移DDL，须注意源库执行DDL时，确保在目标库上是兼容的。

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文主要介绍GPU调度。 CCE支持在容器中使用GPU资源。 前提条件 1、创建GPU类型节点，具体请参见创建节点。 2、安装gpubeta插件，安装时注意要选择节点上GPU对应的驱动。 3、gpubeta会把驱动的目录挂载到/usr/local/nvidia/lib64，在容器中使用GPU资源需要将/usr/local/nvidia/lib64追加到LDLIBRARYPATH环境变量中。 通常可以通过如下三种方式追加。 制作镜像的Dockerfile中配置LDLIBRARYPATH。（推荐） ENV LDLIBRARYPATH /usr/local/nvidia/lib64:$LDLIBRARYPATH 镜像的启动命令中配置LDLIBRARYPATH。 /bin/bash c "export LDLIBRARYPATH/usr/local/nvidia/lib64:$LDLIBRARYPATH && ..." 创建工作负载时定义LDLIBRARYPATH环境变量（需确保容器内未配置该变量，不然会被覆盖）。 env: name: LDLIBRARYPATH value: /usr/local/nvidia/lib64 使用GPU 创建工作负载申请GPU资源，可按如下方法配置，指定显卡的数量。 apiVersion: apps/v1 kind: Deployment metadata: name: gputest namespace: default spec: replicas: 1 selector: matchLabels: app: gputest template: metadata: labels: app: gputest spec: containers: image: nginx:perl name: container0 resources: requests: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 申请GPU的数量 limits: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 GPU数量的使用上限 imagePullSecrets: name: defaultsecret 通过 nvidia.com/gpu 指定申请GPU的数量，支持申请设置为小于1的数量，比如 nvidia.com/gpu: 0.5 ，这样可以多个Pod共享使用GPU。GPU数量小于1时，不支持跨GPU分配，如0.5 GPU只会分配到一张卡上。 指定nvidia.com/gpu后，在调度时不会将负载调度到没有GPU的节点。如果缺乏GPU资源，会报类似如下的Kubernetes事件。 0/2 nodes are available: 2 Insufficient nvidia.com/gpu. 0/4 nodes are available: 1 InsufficientResourceOnSingleGPU, 3 Insufficient nvidia.com/gpu. 在CCE控制台使用GPU资源，只需在创建负载时，勾选GPU配额，并指定使用的比例即可，如下图所示。 图 使用GPU

本文介绍如何在微信小程序引入验证码插件。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 注意 请勿在“微信开发者工具”的“游客模式”下接入验证码。 接入说明 1、添加插件 用管理员身份登录微信公众平台 ，且需使用接入小程序的相关账号。 选择设置 > 第三方设置 > 添加插件，在搜索框内输入关键字“ AOne 验证码”查找插件，并单击添加。 2、集成插件 引入验证码小程序插件。 使用验证码插件前，需要在 app.json 中声明验证码小程序插件，如下： html { "plugins": { "captchaplugin": { "version": "1.3.0", "provider": "wx10dca5c3b7d08b57" } } } 引入验证码小程序组件。 需要在页面.json 文件中需要引入自定义组件，js 代码如下： html { "usingComponents": { "aonecaptcha": "plugin://captchaplugin/aonecaptcha" } } 3、使用小程序插件 使用原生小程序语言接入时，需要在自定义的.wxml 文件中，使用验证码插件，wxml 代码如下： html 登录 组件参数说明： 字段名 值类型 默认值 说明 httpDomain String 无 验证码拦截的域名 captchaShow Boolean false 控制弹框显示 组件方法说明： 字段名 说明 success 成功回调 (code 状态码 0 成功,ticket 成功标识) close 关闭弹框 成功失败回调字段说明： 字段名 说明 code 状态码 ticket 成功标识 状态码code字段定义说明： 失败的状态页面会直接重新刷新，进行再次验证。 字段名 说明 0 成功，可以获取 ticket 1 验证数据格式有误 2 验证失败 3 验证动作超时 4 验证码版本不对 在自定义的.js 文件中，监听事件，代码如下： 2.1 打开弹框： html // 点击打开弹框 login: function () { this.setData({ captchaShow: true }) }, // 验证码成功回调 captchaSuccess: function (data) { console.log('验证码成功回调token:', data.detail) //获取验证码token，用于后端验证码校验 // code and ticket const detail data.detail this.setData({ ticket: data.detail.ticket, captchaShow: false, }) }, // 验证码关闭回调 captchaClose: function () { this.setData({ captchaShow: false, }) } })

本节将介绍如何执行查看已有剧本、导入剧本信息、导出剧本信息、禁用剧本、删除剧本等操作。 查看已有剧本 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在剧本管理页面，查看剧本的信息。 剧本列表上方，呈现当前 待审核 、 未启用 、已启用剧本的总数。 在剧本列表中查看已有剧本的信息。 当剧本较多时，可以通过搜索功能，选择剧本的“状态”、“名称”、“描述”或“数据类”，并在搜索框中输入关键词，单击，即可快速查询指定剧本。 参数名称 参数说明 名称 创建的剧本的名称。 数据类 剧本对应的数据类。 剧本状态 剧本当前状态。当前分为已启用和未启用两种状态。 当前版本 剧本当前版本。 运行监控 单击，查看剧本运行监控。 选择时间：选择查看的监控时间。支持最近24小时、最近3天、最近30天和最近90天的查询。 版本：选择查看的监控版本。支持全部、当前有效和已删除类型的查询。 运行次数：提供查看剧本的运行总次数、定时触发次数和事件触发次数。 平均运行时长：提供查看平均运行时长、最长运行时长和最短运行时长。其中，平均运行时长实例运行总时长/实例总个数。 实例状态统计：提供查看实例运行总个数、运行成功个数、运行中的实例个数、运行失败个数和终止个数。 创建人 创建该剧本的用户。 创建时间 剧本的创建时间。 修改人 最近一次修改该剧本的用户。 更新时间 剧本最近一次更新的时间。 描述 剧本的描述信息。 操作 用户可以在操作栏中，执行启用、删除等操作。 6. 如需查看某个剧本的详细信息，可单击待查看剧本的名称，进入剧本详情页面。

云主机系统资源利用率异常 步骤一：问题定位 定位云主机是否受到恶意软件感染，您可以运行受信任的杀毒软件或安全扫描工具，对云主机进行全面扫描。此外，您还可以检查操作系统、应用程序和安全软件是否为最新版本，并已应用最新的安全更新和补丁。 步骤二：问题处理 如果云主机受到恶意软件感染，及时采取行动非常重要。隔离云主机、运行安全扫描工具、清除恶意软件、更新系统等都是确保云主机安全的关键步骤。 云主机系统资源利用率异常 问题定位：定位云主机中CPU利用率高、带宽流量大、内存使用量高的进程。Windows系统提供多个工具用于定位系统资源利用率异常问题，包括任务管理器、性能监视器、资源监视器、事件查看器等。在带宽流量大的情况下，您可以使用Wireshark抓取一段时间内的网络包，分析带宽流量的使用情况。查看网络问题时，您可以检查网线、路由器等硬件设备是否正常工作，之后使用命令行工具ping命令来测试与其他计算机的网络连接，检查延迟和丢包情况。 问题定位步骤： 1. 本部分详细介绍了问题定位步骤，您可按照如下流程进行排查。 2. 打开“运行”窗口，输入“perfmonres”，打开“资源监视器”。 3. 在“资源监视器”中，单击“CPU”或“网络”，查看CPU占用率或带宽使用情况。 4. 查看CPU和带宽占用率较高的进程ID和进程名。 5. 打开“运行”窗口，输入“taskmgr”，打开“Windows任务管理器”。 6. 在“任务管理器”中，选择“详细信息”选项卡，单击“PID”进行排序。在查找到的CPU或带宽占用率较高的进程上单击右键，选择“打开文件位置”，定位进程是否为正常程序或恶意程序。 问题处理 排查进程是否正常，进行分类处理。 1. 正常程序：优化程序，或变更云主机配置，请参见实例配置变更。 2. 异常程序：确保异常程序不会影响到系统组件或其他用户，您可以手动关闭进程或隔离异常程序。根据异常原因，您还可以采用适当的措施来修复

任务开始前 源库要求 源数据库的分区表触发器不可以设置为disable。 全量同步支持源库备机状态，但需要设置hotstandbyfeedback为on；增量同步不支持源库备机状态。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。 源库为PostgreSQL自建库时，若要做增量同步，需在源数据库的“pghba.conf” 文件进行如下配置： host replication all 0.0.0.0/0 md5 源数据库参数wallevel必须配置为logical； 如果配置任务时逻辑解码指定为Decoderbufs，源数据库需提前安装Decoderbufs插件； 源数据库中无主键表的replica identity属性必须为full； 源数据库的maxreplicationslots参数值必须大于当前已使用的复制槽数量； 源数据库的maxwalsenders参数值必须等于或大于maxreplicationslots参数值； 源数据库中表的主键列toast属性为main、external、extended时，其replica identity属性必须为full。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。 目标库要求 目标数据库的blocksize参数值必须大于或等于源库中的对应参数值。 目标数据库和源数据库的lcmonetary参数值一致。 若要做增量同步，且同步对象包含外键、触发器或事件触发器，则目标数据库的sessionreplicationrole参数必须设置为replica，同步结束后，此参数需改为origin。 目标库不可以包含与待同步对象类型相同且名称相同的对象，包括模式、表、序列等，否则任务可能出错。系统库、系统模式、系统表等除外。 选择表级对象迁移时，增量迁移过程中不建议对表进行重命名操作。 对于全量+增量和增量任务，启动前请确保源库中未启动长事务，启动长事务会阻塞逻辑复制槽的创建，进而引发任务失败。 若选择同步DDL，须注意源库执行DDL时，确保在目标库上是兼容的。 目标数据库关联RDS实例必须有足够的磁盘空间，磁盘大小建议取以下两种中的最小值: 源库待迁移数据量大小的1.5倍。 源库待迁移数据量大小加200GB。

安全边缘节点 在天翼云所有文档中，边缘节点、CDN节点、Cache节点、缓存节点、加速节点、天翼云节点等都是指天翼云边缘节点。边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。 分布式监测集群 分布式结构就是将一个完整的系统，按照业务功能，拆分成一个个独立的子系统，在分布式结构中，每个子系统就被称为“服务”。这些子系统能够独立运行在web容器中，它们之间通过RPC方式通信。因此按照微服务的思想，网站安全监测产品的功能模块可拆分成多个独立的服务，即：安全事件监测、漏洞监测、可用性监测、DNS监测、内容安全监测。每个服务都是独立的项目，可以独立运行。如果服务之间有依赖关系，那么通过RPC方式调用。单机处理到达瓶颈的时候，就把单机复制几份，这样就构成了一个“集群”。集群中每台服务器就叫做这个集群的一个“节点”，所有节点构成了一个集群。每个节点都提供相同的服务，那么这样系统的处理能力就相当于提升了好几倍（有几个节点就相当于提升了这么多倍）。分布式监测集群可以在实现网站安全监测产品完整、系统化的同时，能够解决访问速度和质量的问题。 网站可用性 网站可用性(web usability)是衡量用户体验的指标, 是对用户使用网站达成目标是否顺利、以及在这个过程中用户是否满意的综合衡量，反应在具体指标上关注的有目标站点的响应速度、可访问性等。 Web漏洞 Web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的Web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在Web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。主要有以下几种攻击方法：SQL注入、XSS跨站点脚本、跨目录访问、缓冲区溢出、cookies修改、Http方法篡改、CSRF、CRLF、命令行注入。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成为220.181.112.143。 Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何网站安全监测防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 网页挂马 网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，而后加代码使得木马在打开网页时运行。 暗链攻击 暗链就是看不见的网站链接，其在网站中做得非常隐蔽，短时间内不易被搜索引擎察觉。暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

日志和监控 提供调用函数的监控指标和运行日志的采集和展示，实时的图形化监控指标展示，在线查询日志，方便用户查看函数运行状态和定位问题。 初始化功能 引入initializer接口： 分离初始化逻辑和请求处理逻辑，程序逻辑更清晰，让用户更易写出结构良好，性能更优的代码。 用户函数代码更新时，系统能够保证用户函数的平滑升级，规避应用层初始化冷启动带来的性能损耗。新的函数实例启动后能够自动执行用户的初始化逻辑，在初始化完成后再处理请求。 在应用负载上升，需要增加更多函数实例时，系统能够识别函数应用层初始化的开销，更精准的计算资源伸缩的时机和所需的资源量，让请求延时更加平稳。 函数流 函数流是用来编排FunctionGraph函数的工具，可以将多个函数编排成一个协调多个分布式函数任务执行的工作流。 用户通过在可视化的编排页面，将事件触发器、函数和流程控制器通过连线关联在一个流程图中，每个节点的输出作为连线下一个节点的输入。编排好的流程会按照流程图中设定好的顺序依次执行，执行成功后支持查看工作流的运行记录，方便您轻松地诊断和调试。 函数流功能特性和优势： 功能特性 函数可视化编排 函数流执行引擎 错误处理 可视化监控 优势 使用更少代码快速构建应用程序函数流允许用户将函数组合编排成一个完整的应用程序，而无需进行代码编写。可以实现快速构建，快速上线。当业务调整时，可以快速调整流程，完成快速上线，无需编写任何代码。 完善的错误处理机制。支持对流程中发生的错误进行捕获和重试，用户可以进行灵活的异常处理。 可视化的编排和监控体验。通过拖拽进行流程编排，学习成本低，可以快速上手。监控页面使用流程可视化的查看方式，可以做到快速识别问题位置。 HTTP函数 HTTP函数专注于优化 Web 服务场景，用户可以直接发送 HTTP 请求到 URL 触发函数执行。在函数创建编辑界面增加类型。HTTP函数只允许创建APIG/APIC的触发器类型，其他触发器不支持。 自定义镜像 支持用户直接打包上传容器镜像，由平台加载并启动运行，调用方式与HTTP函数类似。与原本上传代码方式相比，用户可以使用自定义的代码包，不仅灵活也简化了用户的迁移成本。

本节主要介绍操作跟踪的错误码。 响应码 错误码(code) 错误信息(message) 错误描述 :::: 400 InvalidTrailNameException Trail name too short. Minimum allowed length: 3 characters. Specified name length: 2 characters. 跟踪的名称非法，字符长度不足。 400 InvalidTrailNameException Trail name too long. Maximum allowed length: 128 characters. Specified name length: 140 characters. 跟踪的名称非法，超过最大字符长度。 400 TrailAlreadyExistsException TrailtrailName already exists for the customer:accountId 跟踪已经存在。 400 TrailNotFoundException Unknown trail: arn:ctyun:CloudTrail:ctyun:accountId:trail/trailName for the customer:accountId 跟踪不存在。 400 MaximumNumberOfTrailsExceededException User:accountId already has 10 trails. 跟踪超过最大数量限制。 400 S3BucketDoesNotExistException Bucket name does not exist:bucketName 创建跟踪时，BucketName不存在。 400 InvalidTrailNameException Trail name cannot be blank! 跟踪名称为空。 400 InvalidS3PrefixException S3 prefix is longer than maximum length:s3Prefix 前缀超过长度限制。 400 InvalidLookupAttributesException Lookup attribute key is not valid. Lookup属性key非法。 400 InvalidLookupAttributesException Lookup attribute value is not valid. Lookup属性值非法。 400 InvalidMaxResultsException A max results value of {maxNumber} is invalid. Specify max results between 1 and 50. 设置的lookupEvents返回的最大结果数超过限制。 400 InvalidEventSelectorsException Specify a valid number of selectors for your trail 一个管理事件追踪的筛选器只能有一个。 403 AccessDenied Access Denied 权限认证不通过。 403 AccessDenied Can not access bucket {bucketName} 创建trail时，指定的Bucket不是当前账户下的Bucket。 400 InvalidTrailNameException Trail name must not be formatted as an IP address. trail名称不合法，是ip格式。 400 InvalidTrailNameException Trail name must end with a letter or number. trail名称不合法，不是以数字或字母结尾。 400 InvalidTrailNameException Trail name must start with a letter or number. trail名称不合法，不是以数字或字母开头。 400 InvalidTrailNameException Trail name or ARN cannot have adjacent periods (.), hyphens (), or underscores ()." tail名称不合法，包含连续的“.”“”“”。 400 InvalidEventSelectorsException Value {ReadWriteType} for ReadWriteType is invalid. 创建筛选器时，ReadWriteType的值不正确。 400 InvalidTimeRangeException The start time precedes the end time. Lookup时，起始时间晚于结束时间。 500 InternalError We encountered an internal error. Please try again. 发生内部错误，请重试。 405 MethodNotAllowed Method is not allowed. 操作不能被识别。 400 InvalidTrailNameException Trail name or ARN can only contain uppercase letters, lowercase letters, numbers, periods (.), hyphens (), and underscores (). trail名称不合法，包含非法字符。 400 InvalidS3BucketNameException Bucket name cannot be blank! 创建trail时，Bucket名称不能为空。 400 InvalidLookupAttributesException Lookup attribute key can not be multiple. lookup属性key只能设置一个。

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

插件名称 插件简介 CoreDNS域名解析（系统资源插件，必装） CoreDNS插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 CCE容器存储（everest，必装） Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云存储服务的能力。 CCE节点故障检测 nodeproblemdetector（简称：npd）是一款监控集群节点异常事件的插件，以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序，可从不同的守护进程中搜集节点问题并将其报告给apiserver。nodeproblemdetector可以作为DaemonSet运行，也可以独立运行。 Kubernetes Dashboard Kubernetes Dashboard是Kubernetes集群基于Web的通用UI，集合了命令行可以操作的所有命令。它允许用户管理在集群中运行应用程序并对其进行故障排除，以及管理集群本身。 CCE集群弹性引擎 集群自动扩缩容插件autoscaler，是根据pod调度状态及资源使用情况对集群的工作节点进行自动扩容缩容的插件。 metricsserver MetricsServer是集群核心资源监控数据的聚合器。 CCE容器弹性引擎 ccehpacontroller插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 prometheus（停止维护） Prometheus是一套开源的系统监控报警框架。在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 Kubernetes Web终端（停止维护） webterminal是一款支持在Web界面上使用Kubectl的插件。它支持使用WebSocket通过浏览器连接Linux，提供灵活的接口便于集成到独立系统中，可直接作为一个服务连接，通过cmdb获取信息并登录服务器。 CCE AI套件（NVIDIA GPU） gpubeta插件是支持在容器中使用GPU显卡的设备管理插件，仅支持Nvidia驱动。 Volcano调度器 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。 nginxingress控制器 nginxingress为Service提供了可直接被集群外部访问的虚拟主机、负载均衡、SSL代理、HTTP路由等应用层转发功能。 节点本地域名解析加速 NodeLocal DNSCache通过在集群节点上作为守护程序集运行DNS缓存代理，提高集群DNS性能。

本章介绍主机迁移服务迁移或同步失败常见问题。 迁移中源端有新增的数据如何处理？ 启动目的端后，若源端有新增的数据，单击此服务器所在行的操作列的“同步”，开始下一次复制（增量数据），当迁移状态为“持续同步”时，单击“启动目的端”，迁移实时状态为“已完成”时，说明新增数据已同步到目的端。 “迁移模块异常中止，无法同步”怎么处理？ 问题描述 持续同步过程中出现“SMS.1414 迁移模块异常中止，无法同步”。 问题原因 迁移模块异常终止可能是因为用户手动重启过Agent或者源端服务器被重启过。 源端有一个监控磁盘变化的进程，用于将源端变化的部分同步到目的端。重启之后该进程被终止，会导致无法正确的将源端服务器的变化同步到目的端。 解决方案 该场景下无法继续完成迁移任务，请删除该任务后，重新迁移。请注意迁移过程中不要重启源端服务器或Agent。 Windows迁移过程中，源端SMSAgent突然退出，导致与主机迁移控制台断开连接 问题描述 Windows服务器迁移过程中，源端突然与SMS控制台断开连接，查看源端发现是迁移用的SMSAgent程序退出。 问题分析 出现该问题，可能是因为源端服务器“客户体验改善计划”导致SMSAgent程序退出。 1. 查看SMSAgent迁移日志中断时间。（C:SMSAgentPy3SmsAgentInfo.log） 2. 在源端服务器，打开计算机管理。选择“事件查看器>Windows 日志>系统”。 3. 在系统日志中，查看与SMSAgent迁移日志中断时间对应的系统日志。发现是因为一条客户体验改善计划的用户登录通知，导致源端服务器自动重启。 解决方案 关闭“客户体验改善计划”。 1. 在源端服务器，打开运行窗口，输入：gpedit.msc，单击“确定”，打开“组编辑策略器”。 2. 在导航栏，选择“计算机配置>管理模板>系统>Internet通信管理>Internet 通信设置”，找到“关闭Windows 客户体验改善计划”。 3. 双击“关闭Windows 客户体验改善计划”，打开编辑窗口，选择“已启用”，单击“确定”。 4. 打开计算机管理，选择“系统工具>任务计划程序库>Microsoft>Windows>Customer Experience Improvement Program”，禁用所有任务。 5. 选择“系统工具>任务计划程序库>Microsoft>Windows>Application Experience”，禁用所有任务。 6. 禁用客户体验改善计划相关任务后，需要在SMS控制台删除迁移任务，重新创建并启动迁移任务。

方案优势 无需配置高带宽、高显卡配置实例，云端提供高性能显卡、万兆带宽，可将应用画面无损画质 推送至直播间，带给观众4K分辨率、60帧超强观看体验！ 实时配置推流地址，可按照业务需求动态开启直播推流、动态更改推流目的地！ 支持多种交互输入，游戏可通过DataChannel发送弹幕指令、打造炫酷交互效果 ，可通过web页面键鼠超低延迟操控应，也可通过智能语音、手势交互、电竞手柄等新型交互方式远程操控应用！ 支持无人直播模式，应用启动后，无人操控仍能持续推流，从而实现无客户端连接的情况下仍保持云端应用的运行和不间断的直播推流！ 操作流程 使用流程 以下是从启动应用到开始推流的指导说明： 首先，您需要制作一个可在windows系统中运行的应用程序，若您需要游戏带交互功能，需要在应用层自行开发相关交互接口。制作完成后将应用打包为一个zip/7z/rar格式压缩包。 1. 开通实时云渲染服务]( 2. 参考 快速入门入门指导 的操作指引，将应用上传至云渲染平台，完成云端部署。 3. 应用部署完成后，通过JSSDK接入前端页面，启动应用。 4. 在JSSDK中设置启动推流： 1）若您需要主控端推流（如主播操控游戏），可将baseOption中的webrtcEnable 为 true ，并 onPlay 中执行liveStart(Url)，应用启动成功后会根据您配置的Url自动开始直播推流。 const launch: Launcher await RCRLaunch({ appId, baseOptions: { startType: 1, webrtcEnable: true, // 默认为 true }, extendOptions: { onPlay: () > { // 开始推流 launch.liveStart(liveStartUrl) }, 2）如您不需要在本地电脑的前端窗口查看画面，可以使用无客户端的启动模式，将baseOption中的webrtcEnable设置为false，当 webrtcEnable 为 false 时，需要在 dataChannelConnected 事件中执行推流操作。允许无客户端连接的情况下仍保持云端 App 运行，并能通过DataChannel发送直播间弹幕至应用内。 if (!launch.option.baseOptions.webrtcEnable) { connection.event.dataChannelConnected.on(() > { // 开始推流 launch.liveStart(liveStartUrl) }); } 说明 如您需要修改推流协议、编码格式，请联系我们客服进行后台配置。 当前推流默认格式为：音频编码AAC、视频编码H264、封装格式RTMP。

本节主要介绍创建告警规则 通过告警规则可对资源的指标设置阈值条件，当指标数据满足阈值条件时，会产生告警；当没有指标数据上报时，会产生数据不足事件，以便您在第一时间发现异常并进行处理。 例如，在日常运维中，主机CPU使用率过高可能导致主机死机或重启。这种情况下，您可通过告警规则设置阈值条件，当主机的CPU使用率超过85%时，通过告警进行预警，以便及时获取资源运行状态等信息并采取相应措施，避免因资源问题造成业务损失。 注意事项 告警规则不能超过1000条。当告警规则数量达到上限时，请删除不需要的告警规则后重新创建。 自定义告警规则 步骤 1 在AOM左侧导航栏中选择“告警 > 告警规则”，在右上角单击“添加阈值”。 步骤 2 自定义告警规则。 1、选择资源：在“阈值名称”文本框中输入规则名称，选择资源类型，在资源树上选择待监控的资源，单击“下一步”。 说明 资源树上最多可选择10个资源。 当选择多个资源时，创建操作完成后，会创建多个告警规则，每个资源对应一个告警规则。规则命名方式为：您在“阈值名称”文本框中设置的告警规则名称加上0至9的序号（序号和资源选择时的先后顺序有关，先选择的资源序号越小，后选择的资源序号越大）。 选择资源 2、定义阈值：选择待监控的指标，设置阈值条件、连续周期、告警级别、统计方式等参数。 说明 阈值条件：阈值告警的触发条件，由判断条件（>、 、 85”，表示指标的实际值大于已设置的阈值85时，生成阈值告警 连续周期：连续多少个周期满足阈值条件后，发送阈值告警。 统计方式：指标数据按照所设置的统计方式进行聚合。 统计周期：指标数据按照所设置的统计周期进行聚合。 步骤 3 单击“添加”，完成创建。如下图所示，创建了多个告警规则，一个资源对应一个规则，可使用独立的规则对某个资源进行监控。 如下图所示，对于一个告警规则，其监控对象为某个组件，当组件的CPU内核占用超过3时，在告警界面产生阈值告警，可在左侧导航栏中选择“告警 > 告警规则”，在告警列表中查看该告警。 告警规则

用户为某一监控指标创建自定义告警规则和通知 云监控服务提供的创建自定义告警功能，帮助用户对单个或多个相同云服务的单个监控指标创建告警规则，便于用户对该类服务的某一指标进行统一监控。 添加自定义告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 在“告警 > 告警规则”界面，单击“创建告警规则”。 4. 在“创建告警规则”界面，根据界面提示配置参数。 a.选择监控对象，根据界面提示配置参数，如表13所示。 表13配置参数 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 资源类型 配置告警规则监控的云服务资源名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：弹性云主机 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明：当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 资源分组不支持通过模板创建告警规则。 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 b.选择监控指标，选择“自定义创建”，参照表14完成参数配置。 表14 配置参数 参数 参数说明 取值样例 ::: 选择类型 选择自定义创建。 自定义创建 监控指标 例如： CPU使用率 该指标用于统计测量对象的CPU使用率，以百分比为单位。 内存使用率 该指标用于统计测量对象的内存使用率，以百分比为单位。 CPU使用率 告警策略 触发告警的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80% 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 发送通知 配置是否发送邮件、短信通知用户，可以选择“是” （推荐选择）或者“否”。 选择“否”，就不会发送邮件、短信通知用户，选择“是”，就需要选择已有的主题或者新建主题。 是 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。