类型 功能 网络共享盘 NAS型共享盘 使用方式 AI云电脑挂载访问 支持 支持 使用方式 第三方平台系统（企业OA，SAP系统等）集成访问 支持 不支持 使用方式 天翼AI云电脑、网盘网页版、支持桌面端和移动端访问 支持 不支持 共享范围 跨资源池共享 支持 支持 共享范围 文件对外分享 不支持（规划中） 不支持 共享范围 跨企业（租户）共享 不支持（规划中） 不支持 数据安全 文件落盘自动加密 支持 支持 数据安全 多数据中心备份，数据异地容灾高可用 支持 部分资源池支持 翼起来生态融合 支持虚拟应用保存文件至翼共享盘 支持 支持 翼起来生态融合 支持翼连访问打开翼共享盘的文件，以及保存文件至翼共享盘 支持 不支持 翼起来生态融合 支持翼飞表单、问卷采集文件或图片保存至翼共享盘 不支持（规划中） 不支持 翼起来生态融合 云智助手设置共享盘为知识库 支持 不支持 权限管控 企业/个人空间容量分配，动态扩容 支持 支持 权限管控 挂载盘设置 支持用户挂载 支持桌面颗粒度挂载 权限管控 支持读写、分享等权限设置 支持 仅支持读写权限设置 权限管控 支持下载/分享/删除等操作审批 支持 不支持 权限管控 日志审计 不支持 仅支持新建、修改、删除操作

本文介绍精准访问控制如何设置生效时间。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 为了保证用户业务使用的灵活性，例如部分敏感地址仅允许在系统维护时间范围内短暂的访问等，从而对业务的访问策略能够进行精细化的防护和控制，系统允许创建精准访问控制规则时，可以选择让该规则永久生效，或定义失效时间。可以通过规则列表控制规则是否开启，自定义控制规则生效的时间段。 设置精准访问控制策略的流程和步骤如下： 操作流程 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”。 3. 在“安全防护”页签定位到“精准访问控制”模块，选择自定义防护规则，单击“前去配置”。 4. 新建/编辑防护规则。 5. 设置过期时间。 6. 单击“保存”，保存配置。 即可完成精准访问控制的生效时间设置。

本文主要介绍采集常见错误类型。 以下为常见的错误类型以及对应的解决方法说明，可供参考。 LTS 错误码 错误说明 英文说明 解决方法 LTS1400 数据包从产生到发送的过程中等待的时间较长 The waiting time for data packets from generation to transmission is relatively long 检查发送是否正常，或是否存在数据量超过默认配置、配额不足或网络存在问题。 LTS1401 无权限读取指定文件 No permission to read the specified file 检查lmtagent的启动账号，建议以root方式启动。 切要采集的日志目录具备读权限 LTS1402 行首正则与日志行首匹配失败，无法对日志做分行 Failed to match the beginning of the line with the log entry's starting pattern, unable to split the log into lines 检查行首正则正确性。 若是单行日志可以配置为.。 LTS1403 完整正则模式下，日志内容和正则表达式不匹配 No match found between log content and regular expression in full regex mode 查看错误详情，重新调整正则规则适配日志原文。 LTS1404 JSON、分隔符等模式下，由于日志格式不符合定义而解析失败 Parsing failed in JSON, delimiter, and other modes due to mismatched log format definitions 查看错误详情，重新调整规则适配日志原文。 LTS1405 采集配置不合法 The collection configuration is invalid 采集配置JSON格式有误，可以通过控制台重新编辑下发规则。 LTS1406 因超过服务器资源使用上限而崩溃 Crashed due to exceeding server resource limits 调整CPU/内存上限， 主机需要调整 /etc/systemd/system/lmtagent.service 里几个限额项 MemoryMax/MemoryLimit/CPUQuota ； 容器需要在ccse控制台调整日志插件的YAML文件中定义的限额项 resources.limit.cpu/resources.limit.memory。 LTS1407 在Linux系统中注册日志监听失败，可能由于没有文件夹权限或文件夹被删除 Failed to register the log listener in the Linux system, possibly due to lack of folder permissions or the folder being deleted 检查采集器是否有权限访问该文件夹，或者该文件夹是否被删除。 LTS1408 日志采集进度落后于日志产生进度 Log collection is lagging behind log generation 采集有部分延迟，应避免一个配置文件采集过多目录，可以通过拆分配置来解决，如果持续出现错误可以提工单反馈。 LTS1409 日志采集进度落后于日志产生进度，且未处理的日志轮转超过20个，开始丢弃日志 Log collection is lagging behind log generation, and with over 20 unprocessed log rotations, logs are now being discarded 采集延迟较多，应避免一个配置文件采集过多目录，可以通过拆分配置来解决，如果持续出现错误可以提工单反馈。 LTS1410 没有日志监控目录读取权限 No read permission for the log monitoring directory 检查日志监控目录是否存在。如果存在，请检查目录权限设置。 LTS1411 日志采集配置目录中的文件数超限 The number of files in the log collection configuration directory has exceeded the limit 检查采集的目录下是否有较多文件和子目录并合理设置监控目录最大深度。 LTS1412 进程退出时日志落盘到本地超时，此时会丢弃未落盘完成的日志 When the process exits, flushing logs to disk times out, and any unfinished logs will be discarded 该报错通常为采集严重阻塞导致，如果持续出现错误可以提工单反馈。 LTS1413 输入源采集异常 Input source collection exception 查看详细报错，根据具体错误信息进一步排查。 LTS1414 过滤器初始化异常 Filter initialization exception 一般由于过滤器的正则表达式非法导致，请根据提示修复。 LTS1415 向聚合队列中添加数据失败 Failed to add data to the aggregation queue 数据发送过快。若真实数据量很大，可忽略。 LTS1416 Checkpoint解析失败 Checkpoint parsing failed 查看详细报错，根据其中检查点内容（前1024个字节）以及具体错误信息进一步排查。 LTS1417 同时监听的目录数超出限制 The number of simultaneously monitored directories exceeds the limit 检查当前采集配置是否包含较多的目录数，合理设置监控目录最大深度。 LTS1418 执行命令添加Docker文件映射失败 Failed to add Docker file mapping when executing the command 查看详细报错，根据具体错误信息进一步排查。 LTS1419 无法在Docker容器中查找到指定文件 The specified file could not be located within the Docker container 查看详细报错，根据其中的容器信息以及查找的文件路径进一步排查。 LTS1420 servicedockerstdout插件错误，根据配置中的BeginLineRegex编译失败 Error in servicedockerstdout plugin: failed to compile BeginLineRegex from configuration 查看详细报错，检查其中的正则表达式是否正确。 LTS1421 同时打开的文件对象数量超过限制 The number of simultaneously open file objects has exceeded the limit 一般因为当前处于采集状态的文件数过多，请检查采集配置是否合理。 LTS1422 processorsplitlogregex以及 processorsplitlogstring插件错误，无法从日志中获取到配置中指定的SplitKey。 Error in processorsplitlogregex and processorsplitlogstring plugins: unable to extract the configured SplitKey from log data 查看详细报错，检查是否存在配置错误的情况。 LTS1423 执行LZ4压缩发生错误 Error occurred during LZ4 compression execution 查看详细报错，根据具体错误信息进一步排查。 LTS1424 已打开文件数量超过限制，无法打开新的文件 The number of open files has exceeded the limit, preventing new files from being opened 日志采集配置目录中的文件数超限 ，默认上限为100000，需要检查采集配置是否通配了过多文件，调整采集规则。 LTS1425 打开文件出错 Error opening file 文件无法打开，需要查看文件是否损坏。 LTS1426 processorregex插件错误，编译配置中指定的Regex正则表达式失败 Error in processorregex plugin: failed to compile the Regex expression specified in the configuration 查看详细报错，检查其中的正则表达式是否正确。 LTS1427 日志解析速度过慢 Log parsing speed is too slow 查看详细报错，根据其中的日志数量、缓冲区大小、解析时间来确定是否正常。 如果不正常，检查是否有其他进程占用了过多的CPU资源或是存在效率较低的复杂正则表达式等不合理的解析配置。 LTS1428 processorregex插件错误，无法从日志中找到配置中SourceKey指定的字段 Error in processorregex plugin: unable to locate the field specified by SourceKey in the configuration from the log data 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1429 processorregex插件错误，匹配失败 Error in processorregex plugin: match failed 查看详细报错，报错根据内容分为如下类型，请根据具体的错误信息进行排查。 unmatch this log content...：日志无法匹配配置中的正则表达式 match result count less...：匹配的结果数量少于配置中指定的 Keys 数量。 LTS1430 splitchar以及splitstring插件错误，无法从日志中找到配置中SourceKey指定的字段 Error in splitchar and splitstring plugins: unable to locate the field specified by SourceKey in the configuration from the log data 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1431 processorsplitchar以及processorsplitstring插件错误，解析得到的字段数量与SplitKeys中指定的不相同 Error in processorsplitchar and processorsplitstring plugins: the number of parsed fields does not match the count specified in SplitKeys 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1432 解析日志时间失败 Failed to parse log timestamp 正则表达式提取的时间字段是否正确。 指定的时间字段内容是否匹配配置中的时间表达式。 LTS1433 checkpoint相关错误 Checkpointrelated error 读取checkpoint文件格式异常，需要确认文件是否被修改，可能导致重采，如果持续出现错误可以提工单反馈。 LTS1434 inotify监听超限 inotify watch limit exceeded 监听目录数超限 ，默认上限为3000，需要检查采集配置是否通配了过多文件，调整采集规则。 LTS1435 采集器启动配置不存在或解析失败 Collector startup configuration does not exist or failed to parse 主机采集器启动配置格式有误，需要确认文件是否被修改，如果持续出现错误可以提工单反馈。 LTS1436 采集队列已满 The collection queue is full 网络中断等原因导致数据无法上报，反压队列满，会持续重试1h等待恢复，如果持续出现错误可以提工单反馈。 LTS1437 本地目录下配置过多 Too many configurations in the local directory 查看详细报错，根据具体错误信息进一步排查。 LTS1438 采集器上报插件初始化失败 Collector reporting plugin initialization failed 先确认VPCE私网域名是正常开通。如果持续出现错误可以提工单反馈。 LTS1439 采集器上报插件endpoint无法连接 Unable to connect to the endpoint of the collector reporting plugin 先确认VPCE私网域名是正常开通，以及本地DNS到VPCE域名是否能ping通。如果持续出现错误可以提工单反馈。 LTS1440 上报日志网关中出现错误 Error occurred in the log gateway during reporting token失效或者到日志网关的网络不通。如果是token失效需确认AK/SK是否有getToken权限。 LTS1441 上报日志网关后返回错误 The log gateway returned an error after reporting 查看详细报错，根据具体错误信息进一步排查。 LTS1442 获取token失败 Failed to retrieve token 用户指定的AK/SK 获取token失败，可能是未正确授权。查看详细报错，根据具体错误信息进一步排查。 LTS1443 采集内部错误 Internal collection error 未定义在上面详细错误码的都归在此类，需要查看详细报错，根据具体错误信息进一步排查。

本节主要介绍Glance使用HBlock卷的方法。 1. 修改Glance的配置文件/etc/glance/glanceapi.conf，修改enabledbackends，支持使用Cinder作为Glance的后端存储，同时通过cindervolumetype来指定卷类型。 plaintext [DEFAULT] showimagedirecturl True enabledbackends"file:file,cindera:cinder,cinderb:cinder" [glancestore] storesfile,cindera,cinderb defaultbackendfile [file] filesystemstoredatadir /opt/stack/data/glance/images/ [osglancetasksstore] filesystemstoredatadir /opt/stack/data/glance/tasksworkdir [osglancestagingstore] filesystemstoredatadir /opt/stack/data/glance/staging [cindera] cinderosregionnameRegionOne cinderstoreauthaddress cinderstoreusernamecinder cinderstorepasswordnomoresecret cinderstoreprojectnameservice cindervolumetypehblocka cinderenforcemultipathTrue cinderusemultipathTrue rootwrapconfig /etc/cinder/rootwrap.conf [cinderb] cinderosregionnameRegionOne cinderstoreauthaddress cinderstoreusernamecinder cinderstorepasswordnomoresecret cinderstoreprojectnameservice cindervolumetypehblockb cinderenforcemultipathTrue cinderusemultipathTrue rootwrapconfig /etc/cinder/rootwrap.conf 部分参数描述，具体详细参数请参考OpenStack官网。 参数 描述 showimagedirecturl 是否允许通过直接url的方式表示镜像。 取值： True。 False。 说明 在使用Stor Cinder进行镜像创建卷的场景下，支持采用克隆方式进行底层处理。如果使用克隆进行底层处理，必须配置此项，且该项取值为True。 enabledbackends 存储标识符和存储类型。配置形式为key :value 。value的合法值为file、rbd、http、swift、cinder。key为defaultbackend的值。 说明 可以一次配置多个key :value ，以英文逗号隔开，如key1 :value1 ,key1 :value2 。enabledbackends中的每一个key 都需要有一个单独的一个配置组[key]，配置组中需要配置该配置的所有详细配置项。 defaultbackend 必须为enabledbackends中的key。 cinderosregionname 从服务目录中查找cinder服务的区域名称。 cinderstoreauthaddress Openstack实际的identity服务url，对应的账户密码需找管理员获取。在PackStack部署模式下，此值为类似的地址： cinderstoreusername OpenStack鉴权账户名。 cinderstorepassword OpenStack鉴权密码。 cinderstoreprojectname 镜像卷存储在Cinder中的项目名称。 cindervolumetype 在Cinder中创建卷的卷类型。 cinderenforcemultipath 如果它被设置为True，则当Multipathd未运行时，镜像传输的卷附加将中止。 取值： True。 False。 说明 如果HBlock集群版，需要配置为True，如果HBlock单机版，配置为False。仅在cinderusemultipath设置为True时，才将此字段设置为True。 cinderusemultipath 在部署中支持用于识别Mutipath的标记。 如果不支持多路径，则将其设置为False。 True：Cinder使用多路径。 False：Cinder不使用多路径。 说明 如果HBlock集群版，需要配置为True，如果HBlock单机版，配置为False。 rootwrapconfig 用于以root用户身份运行命令的rootwrap配置文件的路径。 Cinder存储需要root特权才能运行镜像卷（用于连接到 iSCSI/FC 卷以及读/写卷数据等）。配置文件应允许cinder store和osbrick库所需的命令。 注意 注意：以下仅为示例，请按照实际的OpenStack环境信息进行填写。 plaintext [DEFAULT] showimagedirecturl True enabledbackends"file:file,cinder:cinder,cinderstor8:cinder" [glancestore] storesfile,cinder defaultbackendfile [file] filesystemstoredatadir /opt/stack/data/glance/images/ [osglancetasksstore] filesystemstoredatadir /opt/stack/data/glance/tasksworkdir [osglancestagingstore] filesystemstoredatadir /opt/stack/data/glance/staging [cinder] cinderosregionnameRegionOne cinderstoreauthaddress

函数计算可以为版本设置别名，利用这一功能，您能够同时发布函数的多个别名，实现软件生命周期中的持续部署和灰度发布等。 函数别名 别名本质上是一种指向版本的指针，版本不可变但别名可变，因此可以调整别名指向的版本来动态调整指向的内容，对于更新发布、回滚代码非常有用。别名可以随时创建修改和删除，对别名的操作不会影响到所指向的版本。 此外，别名可以同时指向两个不同的版本，并对两个版本设置路由权重，基于此能力，可以很方便地进行灰度发布。举个例子，我们创建一个“生产”别名，指向版本二（正式稳定版）和版本三（最新灰度版），初始权重比为9:1，这时“生产”这个别名的流量就会按比例转发到对应的函数版本上，实现10%的灰度覆盖，验证通过后，修改“生产”的权重比例，最终过渡到只指向版本三即可，这样就完成了一次灰度发布升级。 创建别名 1. 登录函数计算控制台，点击目标函数，进入函数详情。 2. 选择详情下顶部的版本选项卡。 3. 点击创建别名，按照配置填写，点击确认即可。 配置 解释 实例 名称 自定义别名的名称，只能包含字母、数字和中划线。只能字母开头，字母数字结尾，且值不能为LATEST。函数名称+别名名称总长度不超过45个字符。 product 描述 别名的备注，可以作为友好化提示。 生产环境 主版本 别名指向的版本。别名至少指向一个版本，不可为LATEST版本。 1 启用灰度版本 是否启用流量分割，开启后可以配置权重，实现一个别名指向两个版本。 是 灰度版本 别名指向的版本。 灰度类型 按百分比随机灰度：通过对灰度版本设置权重，使得部分流量部分转发到灰度版本。权重范围为[0,100]%。 10%

多手柄支持 支持同时连接多个游戏手柄。目前已支持 Xbox 协议的蓝牙手柄，已验证型号如下： Xbox 游戏手柄、Xbox精英手柄 雷神 G50S 盖世小鸡 GameSirT4n Lite 机械师 G5Pro Max 畅玩版 飞智黑武士 4 Pro 说明 支持14个手柄同时连接，轻松开启多人同屏畅玩，让聚会游戏乐趣翻倍。 鼠标模式自由视角 功能概述 在3D游戏和应用中，自适应鼠标拖动旋转视角的操作，解除边界限制。 此状态下，无法通过常规悬停鼠标的方式唤出云电脑工具栏，需通过快捷键（默认Ctrl + Alt + 9）临时释放鼠标光标，即可进行展开工具栏或移出AI云电脑客户端窗口等操作。 功能设置 游戏云电脑默认开启此功能，每次登陆时自动重置为开启状态； 该功能仅针对3D游戏和应用优化，若在其他场景下鼠标操作异常，可尝试关闭功能； 关闭方式：将鼠标移动至云电脑客户端边缘悬浮条（通常为顶部或侧边）展开工具栏，点击“控制中心”，进入“设置其他设置鼠标模式自由视角”； 快捷键变更：可自定义快捷键，支持数字或字母。 注意 版本要求：云电脑客户端版本不低于v2.9.0，建议更新至最新版本。 常见问题

本页介绍了文档数据库服务DDS如何开启存储空间自动扩容。 操作场景 文档数据库服务DDS支持实例存储空间的自动扩容，方便用户在实例存储空间达到一定阈值时由后台自动发起扩容，无需人工操作确认。 约束限制 实例状态非运行中时，自动扩容不会进行。 备份类型为云硬盘的集群版实例最大可自动扩容至2TB，备份类型为对象存储的所有实例最大可自动扩容至32TB。 操作步骤 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击需要开启扩容存储空间实例的实例名称，进入到该实例详情页。 4. 在“配置信息”区域，单击“存储自动扩容”参数右侧的 “设置” 。 5. 在“设置存储空间自动扩容”对话框中，开启自动扩容，配置“存储扩容触发阈值”和 “存储自动扩容上限” 。 6. 点击“确定”完成存储空间自动扩容设置。 说明 当存储空间大于备份空间，备份空间也会进行自动扩容。 自动扩容变更将产生额外计费，如实例有只读从节点，会跟随主节点一起扩容。 当已用存储空间到达触发阈值时，存储空间按照当前存储空间的20%进行扩容。 当超过触发阈值不会马上触发扩容操作，需等几分钟后台才会进行扩容，如有急用，请手动进行存储空间扩容。

205 [DBProxy]优化在控制台执行DDL语句审计不通过的处理逻辑，展示DDL审计规则不通过的具体信息。 158 [DBProxy]优化DDL HINT处理逻辑，增强HINT处理能力。 363 [DBProxy]优化通过DDL语句下发执行顺序，确保与物理分片顺序一致。 378 [前端]优化控制台创建表时设置分片规则相关配置，提升交互体验。 402 [管理平台]调整退订策略，使退订DRDS实例时自动解除所有关联MySQL实例的绑定状态，确保MySQL实例可以正常退订。 389 [前端]优化重启节点页面提示，提升交互体验。 373 [DBProxy]优化关联MySQL实例策略，使DRDS实例关联主备版MySQL实例时直接关联该MySQL实例主节点，提升操作效率。 374 [DBProxy]优化实例创建后的默认参数，减少故障发生率。 399 [DBProxy]优化ZooKeeper连接申请策略，消除异常场景可能出现的ZooKeeper连接数泄露问题。 425 优化检测分片库时MySQL连接数配置策略，提高实例安全性，该功能对公有云租户端不可见。 436 优化DRDS实例新增节点的防火墙策略，提高实例安全性，该功能对公有云租户端不可见。 427、428 [前端]优化DRDS实例关联MySQL相关的页面提示和操作引导，提升交互体验。 429 [前端]优化DRDS实例表回收站的相关页面提示，提升交互体验。

原因三 原因：源站性能问题。 解决办法： 排查网站问题并联系您的网站负责人进行解决。 504 Gateway Timeout 现象：完成WAF域名接入配置之后，业务正常，但当业务量增加时，发生504错误的概率增加，直接访问源站IP也有一定概率出现504的返回码。 可能有以下几个原因： 原因一 原因：后端服务器性能问题（连接数，CPU内存占用过大等）。 解决办法： 1. 优化服务器的相关配置，包括TCP网络参数的优化配置，ulimit相关参数设置等。 2. 为了支撑业务量的大量增长，可按照方法一 或者方法二进行处理。 方法一 ：在ELB上增加后端服务器组。 方法二 ：创建新的ELB，并参照以下方法将ELB的EIP作为服务器的IP地址，接入WAF。 1. 登录管理控制台，单击页面上方的“服务列表”，选择“安全 > Web应用防火墙（独享版）”，进入Web应用防火墙控制界面。 2. 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 3. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 4. 在“服务器信息”栏中，单击，进入“修改服务器信息”页面，单击“添加”，新增后端服务器。 3. 如果客户端协议即“对外协议”是HTTPS协议，可考虑在WAF设置HTTPS转发，回源走HTTP协议即“源站协议”设置为HTTP，降低后端服务器的计算压力。

本文介绍一些关于RDSPostgreSQL的开发运维建议。 参数部分 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。 修改敏感参数，不当设置会导致信息泄露。例如参数 logstatement，可能会在日志输出中带有敏感信息，若无必要可以设置为none。 性能参数，不当设置会导致无意义的数据库空转或者阻塞，导致读写性能下降。例如参数autovacuum，频率过高会导致占用时间过长，降低实例性能，而频率过低可能会引起清理速度赶不上读写速度，最终导致xid回卷。 数据库重复操作开销 使用连接池。过多的数据库连接会占用宝贵的内存资源，反复创建与销毁连接会增大切换的开销。因而在不影响实际应用的情况下，降低连接数量有利于系统性能优化。业务系统在不影响的情况下，应尽量使用连接池，避免反复创建过多连接，使数据库负荷过重。 使用较大的事务批量处理数据。在不要求分段确认且成功率高的场景下，业务系统应将适当数量的语句放在一个事务内执行，减少反复提交事务的开销。一般的关系型数据库进行事务回滚会有较大时间开销，但关系数据库PostgreSQL版的特性即是回滚时间与事务大小无关，因而事务语句数量阈值相较于其他数据库可以更大一些。

本节介绍了如何创建数据库。 操作场景 实例创建成功后，可根据业务需要在控制台创建数据库。 约束限制 支持在控制台创建数据库。 实例状态异常（主库不可用、恢复等）情况下，不可进行该操作。 不支持创建同名数据库。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 选择数据库管理页签。 7. 点击创建数据库按钮，并填写相关参数。（详细参数及规则如下表） 8. 点击创建按钮。创建成功后，可在数据库管理页面查看已创建的数据库及其相关信息。 参数 说明 数据库名称 由字母、数字、下划线和中划线组成。 由字母开头，以字母和数字结尾。 最长63个字符。 支持字符集 数据库的字符集。 Collate 字符串排序规则。 Ctype 字符分类。 限制并发量 数据库的连接限制数。 授权owner账号 设置数据库的所有者，对数据库拥有ALL权限。 备注说明 填写备注信息，最多可输入1000字符。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，单击“创建VPN网关”。 4. 根据界面提示配置参数，单击“立即创建”。 表VPN网关参数说明 参数 说明 取值样例 计费模式 按需计费：后付费方式，VPN网关和VPN连接组按使用时长收取费用，计费周期为1小时。 按需计费 区域 选择靠近您所在地域的区域可以降低网络时延，从而提高访问速度。 不同区域的资源之间网络不互通。 请根据实际需要进行选择 名称 VPN网关的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpngw001 网络类型 公网：VPN网关通过公网建立VPN连接。 私网：VPN网关通过私网建立VPN连接。 公网 协议类型 支持“IPv4”和“IPv6”两种类型。 IPv6 关联模式 虚拟私有云 通过VPC向对端网关或本端子网内服务器发送通信消息。 企业路由器 通过ER向对端网关或ER下所有VPC所在子网发送通信消息。 说明 该场景下需要关注企业路由器的路由表条数规格限制。如果对端网关和VPN网关发送的路由条数超过企业路由器的规格，则企业路由器将无法学习到超出部分的路由信息，最终导致VPN网关和对端网关之间的流量不通。 虚拟私有云 虚拟私有云 选择虚拟私有云VPC信息。 vpc001(192.168.0.0/16) 企业路由器 仅“关联模式”采用“企业路由器”时需要配置。 选择企业路由器ER信息。 er001 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.66.0/24 本端子网 VPC与对端网关对应数据中心互通的子网。 选择子网选择本 VPC子网信息。 输入网段 可以输入本VPC下的子网信息；也可以输入与本VPC建立了对等网络的VPC子网信息。 192.168.1.0/24,192.168.2.0/24 BGP ASN VPN网关会根据输入值创建相应的ASN，VPN网关和对端网关的BGP ASN需要不同。 64512 可用区 可用区是指在同一地域内，电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通，可用区之间能做到物理隔离。 当存在两个及以上可用区时，必须选择两个可用区。 部署在两个可用区的VPN网关具备更高的可用性。建议您根据VPC内资源所在的可用区选择网关的可用区。 当仅存在一个可用区时，可选择此可用区创建VPN网关。 可用区1、可用区2 VPN连接组数 VPN网关默认提供10个免费的VPN连接组。 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。 如果用户侧数据中心有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。 10 HA模式 双活：主EIP和主EIP2均与对端网关建立VPN连接，但只有一条VPN连接进行数据交互。当其中一条VPN连接发生故障时，数据交互切换至另一条VPN连接。 主备：主EIP与备EIP均与对端网关建立VPN连接，默认情况下流量仅通过主链路进行传输。如果主链路故障，流量自动切换至备链路进行传输；主链路恢复正常后，流量回切至主链路进行传输。 双活 主EIP 用于VPN网关和对端网关进行网络连接。 现在创建：创建新EIP。 使用已有：使用已有EIP。 现在创建 带宽大小 EIP对应带宽大小，单位：Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth1 主EIP2 一个VPN网关需要绑定一组弹性公网IP（即主EIP、主EIP2），每个公网IP可以独立规划带宽。 现在创建 备EIP 一个VPN网关需要绑定一组弹性公网IP（即主/备EIP），每个公网IP可以独立规划带宽。 说明 VPN网关“计费模式”为“按需计费”场景下，若备EIP为按流量计费，强烈建议用户在云监控中配置告警规则对备EIP进行监控，避免因VPN连接故障、主链路切换至备链路导致的流量费用超支问题。 如何在云监控中对EIP配置告警规则，请参见《弹性IP用户指南》。 现在创建 公网带宽 按需计费支持两种计费方式：按带宽计费/按流量计费。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：指定带宽上限，按实际使用的出云流量计费，与使用时间无关。 按流量计费 带宽大小 EIP对应带宽大小，单位Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth2 企业项目 创建VPN时，可以将VPN加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 关于创建和管理企业项目的详情，请参见《企业项目管理用户指南》。 default 高级配置 仅“网络类型”为“私网”、“关联模式”采用“虚拟私有云”时需要配置。 选择：适用于同租户场景，选择本租户下接入虚拟私有云、接入子网、接入IP。 输入：适用于跨租户场景，填写接入项目、接入账号、接入虚拟私有云和接入子网。 选择 接入虚拟私有云 仅“关联模式”为“虚拟私有云”、“网络类型”为“私网”时需要配置。 当VPN网关的南北向需要连接不同的虚拟私有云时，设置北向的虚拟私有云为该接入虚拟私有云。 VPN网关关联的虚拟私有云为南向业务虚拟私有云。 选择“与网关关联的虚拟私有云一致” 接入子网 缺省情况下，VPN网关从关联的虚拟私有云的互联子网接入。当VPN网关需要从指定子网接入时设置。 选择“与互联子网一致” 5. （可选）对于国密型网关，创建后需要上传VPN网关证书，否则VPN连接将无法建立。 上传VPN网关证书的相关操作请参见“上传VPN网关证书”章节内容。

本章节介绍Eureka引擎告警管理功能 概述 通过实例的告警管理能力，您可以对实例状态进行实时监控，并在特定指标异常时，将消息以不同形式（短信、邮件、翼连）推送到相关负责人，以便及时感知问题、处理线上故障。 管理通知对象 在配置告警规则之前，您需要先添加通知对象。通知对象包括联系人、联系人组、翼连、WebHook集成四种形式。 联系人：一个告警规则所通知的“个人”，通知渠道包括该“个人”的手机短信和个人邮箱。 联系人组：多个联系人组成的逻辑团体。若告警通知到联系人组，将会通知联系人组下的每个联系人。 翼连：通知到翼连群。 WebHook集成：通过调用预先指定的地址进行告警通知。 下面以最简单的联系人为例，演示如何添加通知对象。 1.进入实例引擎控制台>告警管理>通知组页签，点击“新建联系人”按钮。 2.在弹出的窗口中，填写联系人的对应信息，即可完成创建。 管理告警规则 告警规则决定了一次告警发生的阈值、通知的对象和渠道，以及通知的内容。完成联系人创建后，进入实例引擎控制台>告警管理>告警规则页签，可以管理您的告警规则。 下面将演示如何创建一个“Eureka引擎注册服务健康实例数量占比过少”多告警并使其生效，触发告警。 1. 创建通知策略。进入实例引擎控制台>告警管理>通知策略页签，点击“创建通知策略”按钮，填写相关信息，并指定通知对象为上一步骤中创建的联系人，完成通知策略创建； 2. 点击“创建告警规则”按钮，在弹出的窗口中填写告警相关信息。其中，通知策略指定为步骤1中创建的通知策略，告警分组选择“Eureka引擎”，告警指标选择“健康实例数量占比”，根据您的需求选择合适的判断条件，告警等级。 3. 完成告警规则创建后，可在告警规则列表中查询到该条目。告警规则创建完毕后默认启用，可通过右侧“操作”中的“停止”来使该规则失效。 4. 告警规则生效后，可在实例引擎控制台>告警管理>告警事件历史页签中，对告警事件的当前状态进行追踪。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

此章节为您介绍如何配置数据采集项。 您在添加完资产后，需要在“采集配置”模块中添加资产采集方法。 新增采集资产 说明 日志审计（原生版）仅开启内网IP段的514端口 UDP采集，若您需要使用其他IP段或端口采集日志，请您提交工单联系天翼云支撑人员为您配置规则。 Syslog资产 1. 登录日志审计控制台。 2. 选择“系统配置 > 采集管理 > syslogudp”，进入syslogudp资产配置页。 3. 选择待采集设备的“资产组”和“资产IP”，单击“新增”完成资产配置。 Snmptrap资产 同上，区别于采集方式选择Snmptrap。配置Snmptrap采集资产： 1. 新增MIB文件任务。在菜单“系统配置> 采集管理 > MIB管理”页面中，单击“新增”，上传MIB文件。 2. 在菜单“系统配置 > 采集管理 > SnmpTrap管理”页面中，单击“新增”，对弹出的对话框中填写相关参数，详情见下表。 3. 单击“提交”，完成Snmptrap资产的对接。 参数名称 填写说明 资产IP 选择待采集资产的IP地址。 数据接收端口 选择待采集资产的数据接收端口。 关联资产 自动关联，无需填写。 SNMP版本 选择SNMP版本，当前仅支持“v1”和“v2c”版本。 Community 自定义发送的团队名称。 MIB选择文件 选择步骤1上传的MIB文件。 发送Topic名称 自定义发送Topic的名称。 MIB文件内容 查询MIB中文件的内容。关键字查询，多个关键字符请使用英文","进行分隔。

本节介绍 Web应用防火墙（独享版）的安全总览页面。 您通过Web应用防火墙服务查看防护日志，可查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 已为防护域名添加了一个或者多个防护规则。 规格限制 在“安全总览”界面，最多可以查看30天的防护数据。 QPS计算方式 不同时间段的QPS计算方式不同，QPS在各时间段的取值说明如下表所示。 时间段 QPS平均取值说明 QPS峰值取值说明 “昨天”、“今天” 间隔1分钟，取1分钟内的平均值 间隔1分钟，取1分钟内的最大值 “3天” 间隔5分钟，取5分钟内的平均值 间隔5分钟，取5分钟内的最大值 “7天” 间隔10分钟，取每5分钟内平均值的最大值 间隔10分钟，取10分钟内最大值 “30天” 间隔1小时，取每5分钟内平均值的最大值 间隔1小时，取1小时内最大值 说明 QPS（Queries PerSecond）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在页面上方，设置要查询的网站、实例以及查询时间。 默认统计的是该账号所有项目下添加到WAF的所有网站的相关数据。 “域名接入”：统计的是选择添加到WAF的防护网站的接入信息。单击“查看”跳转到“网站设置”界面，可以查看防护域名详细信息。 查询时间：可选择昨天、今天、3天、7天、30天。 5. 查看统计的总的请求次数、攻击次数以及各类型攻击的页面总数。 “请求次数”中统计的次数为网站的PV（Page Views）值，即用户每次访问网站，在某个时间内被访问的页面总数。 “攻击次数”中统计的次数为网站被各类型攻击的总次数。 各攻击类型统计的次数为用户每次访问网站，在某个时间内被该类型攻击的页面总数。 单击“查看网站TOP统计”，可查看请求次数、攻击次数、Web基础防护、精准防护、CC攻击防护、爬虫攻击防护排名TOP 10的数据。 6. “安全统计”模块数据展示。 “按天统计”：勾选后，显示的是间隔一天统计一次的数据；不勾选，统计的数据周期根据选择的时间段而定，具体如下： “昨天”、“今天”：间隔两分钟统计一次数据。 “3天”：间隔5分钟统计一次数据。 “7天”：间隔10分钟统计一次数据。 “30天”：间隔1小时统计一次数据。 安全统计参数说明： 参数 说明 请求次数 统计的是域名被访问的总请求量、攻击总量以及被各类攻击类型攻击的页面总数。 QPS 域名平均每秒钟的请求量。QPS的取值说明参考[](file:///D:/01%20%E6%96%87%E6%A1%A3%E9%9C%80%E6%B1%82/WAF%E5%90%88%E8%90%A5/Web%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%88%E7%8B%AC%E4%BA%AB%E7%89%88%EF%BC%89%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97.docx

服务名称 交互功能 相关内容 弹性云主机 在弹性云主机上实现通过天翼云内网访问ZOS。 云专线 通过相关服务将数据迁移到ZOS中。 云监控 监控用户/桶的存储容量、存储对象数量、本月公网流出流量、本月请求次数、公网流出流量、公网流入流量、内网流出流量、内网流入流量、公网请求次数、内网请求次数、有效请求率、平均使用带宽。 密钥管理 对上传到ZOS中的文件进行加密。 域名服务 为托管在ZOS上的静态网站做域名解析。 关系数据库 使用ZOS作为数据库的数据备份资源池。

本文介绍如何通过混合备份恢复数据。 操作场景 当出现不可控因素导致数据损坏或丢失时，您可以选择指定的备份数据创进行恢复配置。 约束限制 存储库需要和安装了客户端的恢复主机在同一地域（网络可达）。 有可用的备份集才能进行恢复，若备份数据被删除则无法进行恢复。 机器处于运行状态，且客户端状态为“已激活”。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已产生备份数据。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“备份集”，选择对应的备份任务名称，点击任务名称的展开符号，点击还原按钮，进入恢复任务设置。 5. 展开备份集，选择需要恢复的具体备份版本，再点击“加载版本索引”，选择需要恢复的具体数据，点击“下一步”。 6. 选择目的主机 和 对应的还原路径，并配置恢复策略，点击“下一步”。 7. 自定义恢复任务名称，确认恢复信息无误后，点击“提交”，完成任务创建。

本页介绍了为什么不建议使用系统库存储数据。 用户在连接到文档数据库服务副本集实例后，可以看到 local, config, admin 3 个系统库。在连接到文档数据库服务集群版实例后，能看到 config, admin 2 个系统库。 不建议用户直接在系统库下建表，下面说明原因。 local 库不参与主从复制。副本集中每个节点的 local 库是相互独立的，对主节点 local 库的修改不会通过 oplog 复制到从节点。因此，如果用户在 local 库下建表写数据，会存在数据安全风险，也不能利用文档数据库服务读写分离的特性。 admin 库的写性能受限。由于一些特殊原因，admin 库下的所有表在执行写入操作时，需要先获取 DB 的写锁（非意向写锁）。这样导致 admin 库下的写入操作都是串行执行的，而且和读操作互斥，因此性能低下，不适合存储业务数据。 不利于用户权限分配。如果使用系统库存储数据，可能会在给普通用户分配权限时将系统表暴露出去，带来额外的系统风险。 删表删库等操作存在严重风险。在使用 dropCollection 或者 dropDatabase 删除库表时，会增加误操作的风险。

前提条件 已获取管理控制台的登录账号与密码。 已使用的数据安全专区，需停止系统所有操作，解绑EIP。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 数据安全专区（原生版）”，进入数据安全专区实例管理页面。 3. 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。 4. 确认实例信息无误后，单击“确定”，进入控制中心>退订管理>退订申请，选择退订原因，勾选确认退订金额，点击退订按钮完成退订。 到期与欠费 包周期资源开通成功后，如果没有按时续费，云平台会提供一定的保留期。 保留期 ：指宽限期到期后客户的包年/包月资源仍未续订或按需资源仍未缴清欠款，将进入保留期。保留期内客户不能访问及使用云服务，但对客户存储在云服务中的数据仍予以保留。 云服务进入保留期后，天翼云将会通过邮件、短信等方式向您发送提醒，提醒您续订或充值。保留期到期仍未续订或充值，存储在云服务中的数据将被删除、云服务资源将被释放。 欠费后，可以查看欠费详情。为防止相关资源被停止或者释放，请及时进行充值，账号将进入欠费状态，需要在约定时间内支付欠款。

本文介绍CDN加速应对攻击的处理机制及策略建议。 详细说明 天翼云CDN加速产品提供公共开放的加速能力，默认不提供防攻击服务。如果您的CDN加速域名受到攻击（例如DDOS攻击或CC攻击），导致CDN节点带宽或请求QPS大幅上涨，影响正常用户请求时，天翼云CDN将基于域名业务情况、攻击影响程度等综合评估，必要情况下有权将您的加速域名流量导入“隔离节点”，进入“隔离节点”的用户请求将不再保障服务质量。 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至“隔离节点”，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品、边缘安全加速平台。详情请见：边缘安全加速平台。 相关概念 DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现DDoS和伪装就叫：CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

本页介绍天翼云TeleDB数据库V5.1.5版本更新说明。 版本说明 本章节主要介绍TeleDB版本更新说明。 V5.1.5版本说明 组件名称 版本号 发布时间 TeleDB Core 5.1.5 2024年 11 月 说明 该版本适配的DCP版本为V3.10.1p1。 新增和优化功能： 1. 支持分布式远程数据访问框架RDA。 管控侧：在实例发放页面新增RDA端口输入框，实例开通页面增加内部通信端口。 内核侧：基于RDA实现了TeleDB分布式数据库实例内部，节点间数据的高效传输，解决了原生PGXL架构在处理复杂查询时连接数暴涨的问题。 2. 支持获取和配置全局数据变化的CDC订阅能力。 管控侧：支持部署CDC插件工具，配置CDC运行参数。 内核侧：用于捕获、处理和同步TeleDB分布式数据库实例数据变化的工具，允许将 TeleDB分布式数据库中的变更数据实时地同步到下游系统，例如其他数据库、消息队列、数据仓库等。 3. 新增对接内核跨版本升级工具，支持用户在界面操作跨版本升级。 管控侧：在实例升级流程中，主动识别升级路径，并对接跨版本升级工具。 内核侧：在实例升级过程中，支持通过升级工具对系统表加列、支持新建系统表、支持增删系统函数和支持升级版本管理。 4. 磁盘只读增加开关，支持Agent定时监控磁盘空间使用率和支持磁盘满的时候只允许查询数据，不允许写入数据。 管控侧：支持定时检测节点磁盘容量，当如果任一节点所在机器的数据目录或者表空间目录磁盘达到阈值，则管控侧将自动修改defaulttransactionreadonly参数值。 内核侧：通过识别defaulttransactionreadonly参数值，来设置只允许查询，不允许执行插入更新语句。 5. 支持分布式死锁检测DDS特性。 管控侧：不涉及。 内核侧：用于实时检测分布式死锁，并按优先级终止事务解除死锁。将opentenbase社区pgunlock插件的死锁检测实效性从分钟级提升到秒级。 6. 支持分区表全局索引。 管控侧：不涉及。 内核侧：支持创建节点内跨分区表的全局索引，分区表在非分片键上的查询性能明显提升。 7. 支持GlobalCache特性。 管控侧：不涉及。 内核侧：支持各进程共享PlanCache数据、SysCache 数据和RelCache 数据，全局元数据缓存，实现节点内表、执行计划等对象的全局缓存，减少大并发场景下的内存消耗。 8. 支持列存储引擎Pax。 管控侧：不涉及。 内核侧：通过表访问方法Table Access Method（简称为 Table AM）提供一种可插拔存储引擎机制，用于实现不同的表访问方式，它允许通过实现自定义的 Table AM，来定义新的表访问方式，并将其集成到数据库中。基于这种机制使得 TeleDB 数据库内核可以支持列存储引擎。 9. 支持XCopy实现集群间数据拷贝。 管控侧：不涉及。 内核侧：支持通过XCopy工具实现集群间数据拷贝。 10. 支持全局统计信息搜集。 管控侧：不涉及。 内核侧：支持在1个CN执行analyze后，其它CN统计信息同步更新。 11. 支持索引优化建议。 管控侧：定时任务中内置Queryindexadvice函数和慢SQL查询增加索引优化建议按钮。 内核侧：采样用户SQL，通过创建虚拟索引对比执行计划，给出索引方面的优化建议。 12. 支持表级降冷存储。 管控侧：不涉及。 内核侧：支持数据表整体降冷和重新转热。 13. 支持透明加密对接KMS、全密态对接KMS、审计用户和RDA加密等。 管控侧：实例开通时增加KMS开关、SSL开关。 内核侧：支持按规则、对象等维度，记录DDL、DML、SQL等独立设计的MLSADMIN账号体系和支持行级访问控制，和磁盘数据加密对接KMS、接入KMS管理密钥，密钥不落盘。 修复漏洞 1. prof调试信息泄露漏洞【原理扫描】。 2. Xlake插件相关漏洞修复。 CVE201910164 漏洞名称：TeleDB：PostgreSQL 缓冲区错误漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网访问，或开放风险端口；梳理高危用户权限，避免使用弱密码；pghba.conf认证方式选用md5，暂时规避使用scramsha256的方式。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20222625 漏洞名称：TeleDB：PostgreSQL 安全漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；禁止使用不受信任第三方插件；扫描并卸载不受信或未使用插件；插件安装禁用CREATE OR REPLACE、 CREATE IF NOT EXISTS。 正式解决方案：产品版本升级到5.1.5及以上。 CVE202339417 漏洞名称：TeleDB：redhat software collectionsSQL注入漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；业务系统前端配置WAF防火墙；业务系统启用SQL防注入能力；严格检查extension的安装sql文件是否存在：@extowner@等特殊非法语句否则应调整或禁止安装。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20247348 漏洞名称：TeleDB：PostgreSQL pgdump竞争条件漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年08月 漏洞详情： 历史版本临时解决方案：在pgdump 工具中存在TOCTOU竞争条件漏洞，pgdump是PostgreSQL用于备份数据库的工具，它通常由具有较高权限（如超级用户）的用户运行。由于pgdump 在检查对象类型和实际使用这些对象之间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞，威胁者可利用该漏洞来替换某些数据库对象。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20221552 漏洞名称：TeleDB：PostgreSQL 权限许可和访问控制问题漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 漏洞详情： PostgreSQL 存在权限许可和访问控制问题漏洞，该漏洞源于autovacuum 功能和多个命令可以逃脱“安全限制操作”沙箱。 正式解决方案：产品版本升级到5.1.5及以上。 修复缺陷 1. 内核特性适配。 2. 备份策略的加密配置可修改。 3. 和DCP联调RDA内核开通。 4. 兼容四位版本解析。 5. 禁用dbusernamespace参数。 6. 扩容撤销工单对接。 7. 内存监控指标调整。 8. 配合前端做接口调整。 9. 升级golang sdk为1.11。 10. 实例名称修改。 11. 提供内核版本接口给DCP调用。 12. 通过DCP开通实例失败返回有用错误日志。 13. 修改DCP和x实例列表中的实例系列。 14. pgclean定时任务需针对每个database都执行。 15. RDA版本内核和非RDA版本内核之间的备份恢复。 16. 参数管理增加允许值和描述。 17. 详情页实例名称支持修改。 18. 修改DCP和x实例列表中的实例系列。 19. 强制升级按钮屏蔽。 20. DCP工单以及任务管理中显示具体的扩容失败原因。 21. 备份策略与增量日志定时检测任务优化。 22. 回收资源时，不处理DCP创建的资源。 23. 修改密码页面增加提示。 24. 修改密码页面增加提示。 25. 修复实例运维相关问题，如主从切换、备份恢复、实例启停等。 26. 修复数据空间管理相关问题。 27. 修复监控采集脚本不执行、计算错误等问题。 28. 修复Xcopy无法执行问题。 29. 修复审计相关问题。 30. 界面易用性优化。

通过控制台自定义节点池kubelet参数 自定义kubelet参数生效时会重启kubelet进程，可能会对业务产生一定的影响，请认真评估影响，在业务低峰期进行相关操作。 1、登录云容器引擎控制台。 2、单击集群名称进入集群，在左侧点击“ 节点管理 ”，下拉点击“ 节点池 ”，选择相关的节点池，操作“ 更多 ”处点击“ kubelet配置 ”。 3、进入kubelet参数自定义界面，点击“ +自定义参数 ”，点击“ 提交 ”按钮。 FAQ 1、自定义配置会被弃用吗？ 随着Kubernetes版本的演进，可能会有部分参数会被标记弃用或者从代码移除。如果受容器服务 Kubernetes 版管理的自定义参数在新的版本不再适用时，相关配置会在集群升级期间被移除弃用。 2、如何自定义控制台不支持的参数？ 强烈不建议您通过黑屏操作自行定义控制台不支持的kubelet参数。如需执行此操作，请在充分评估变更风险后，执行以下命令。然后编辑 /var/lib/kubelet/kubeadmflags.env。 plaintext echo /var/lib/kubelet/kubeadmflags.env > /var/lib/kubelet/kubeadmflags.env.backup systemctl daemonreload systemctl restart kubelet

本文介绍批量导入和导出黑白名单规则的操作步骤。 互联网边界防火墙和VPC边界防火墙均支持配置黑白名单规则。 下载黑白名单规则模板 1. 登录云防火墙（原生版）控制台。 2. 进入黑白名单规则页面。 互联网边界：在左侧导航栏选择“访问控制 > 互联网边界规则”，选择“黑名单规则”或者“白名单规则”页签。 VPC边界：在左侧导航栏选择“访问控制 > VPC边界规则”，选择“黑名单规则”或者“白名单规则”页签。 3. 单击规则列表右上方的下载模板图标，弹出下载模板确认框。 4. 单击“确定”，下载黑白名单规则模板到本地。 批量导入黑白名单规则 1. 按表格要求填写您要添加的防护规则信息。 注意 请按照模板要求填写相应参数，确保导入文件的格式与模板一致，否则可能会导入失败。 黑白名单规则模板参数说明如下： 参数名称 参数说明 名称 自定义规则名称。名称长度不能超过100个字符。 方向 可选择“源地址”或“目的地址”。 源地址：访问流量中的发送数据包的IP地址。 目的地址：访问流量中的接收数据包的IP地址。 IP地址 支持以下格式： 地址段，使用“/”隔开掩码，如：192.168.2.0/24 IP地址簿名称。IP地址簿为多个IPv4地址的集合，添加IP地址簿请参见[添加IP地址簿](

本节介绍如何配置VPC边界防护的内网互访规则。 添加内网互访规则 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 > VPC边界规则”，进入VPC边界规则页面。 3. 选择“内网互访规则”页签，单击“添加规则”，在弹出的添加规则页面中，填写防护规则信息。 规则参数说明如下： 参数名称 参数说明 名称 自定义防护规则名称。名称长度不能超过100个字符。 源IP地址 支持输入IPv4地址或使用已添加的地址簿： 输入IPv4：使用“/”隔开掩码，例如192.168.2.0/24，0.0.0.0/0表示任意地址。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见添加IP地址簿。 源端口 支持输入端口号或使用已添加的地址簿： 输入端口：输入单个端口号或连续的端口号，例如10或110，0表示任意端口。 地址簿选择：通过下拉框选择已添加的端口地址簿，添加端口地址簿请参见添加端口地址簿。 目的IP地址 支持输入IPv4地址或使用已添加的地址簿： 输入IPv4：使用“/”隔开掩码，如192.168.2.0/24，0.0.0.0/0表示任意地址。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

配置项 说明 域名 填写需要接入WAF的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn1）。域名需要完成ICP备案并且域名需要进行 源站 支持IP或域名，支持配置多个源站地址。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购基础版以上版本，通过 请求协议 支持选择HTTP和HTTPS，如果是HTTPS协议，需要上传HTTPS证书。添加证书页面如下： 服务端口 http协议默认服务端口为80，https协议默认服务端口为443，专业版和旗舰版支持配置服务特殊端口。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。自定义配置时，请确保您的源站有配置相应的HOST。 HTTP回源端口 当源站同时服务多个站点，且回源站点与服务域名不同时，您需要配置回源HOST，天翼云WAF产品在回源时会根据配置的回源HOST信息去访问对应站点。源站和回源HOST的区别： 源站：指您的业务所部署的服务器地址，回源时会访问该服务器地址获取资源。 回源HOST：指全站加速回源请求头携带的回源HOST信息，回源请求会访问回源HOST对应的具体站点。注意事项： 对于普通域名（精准域名），回源HOST默认为加速域名。 对于泛域名，回源HOST默认为实际访问的子域名。例如，泛域名是 .ctyunexample.com1，如果通过example.ctyunexample.com1访问时，回源HOST即为example.ctyunexample.com1。 跟随请求端口回源 如果跟随请求端口回源开关开启，则使用请求服务端口回源。

本节介绍如何配置字段映射规则。 字段映射规则是对采集到的日志字段内容映射，如等级字段，接收到的可能是数值1、2、3，可以通过字段映射成：低、中、高。 可对字段映射规则进行新增、查看、编辑、删除、查询操作。 新增字段映射规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 >字段映射规则”。 3. 单击“新增”，弹窗新增规则窗口。 4. 配置字段映射规则的相关参数。 参数 参数说明 取值样例 设备类型 在下拉框中选择需要配置字段映射的设备类型。 主机 / 服务器/其他 字段名 在下拉框中选择配置字段映射规则的字段名。 业务系统 字段原始值 填写配置规则设备类型下字段的原始值。 1 字段映射值 填写原始值映射后的内容。 低 5. 填写完成后，单击“提交”完成字段映射规则配置。 相关操作 规则配置完成后，在规则列表，支持查询规则、查看规则详情、编辑规则、删除规则。 查询规则：在查询栏中，填写需要查询的条件，点击搜索图标，列表展示过滤后的规则。 查看规则详情：单击规则列表操作列的“查看”按钮，进入规则的详情界面。 编辑规则：单击规则列表操作列的“编辑”按钮，弹出编辑界面，修改规则。 删除规则：单击规则列表操作列的“删除”按钮，在弹出的提示框中，单击“确定”。

本节介绍Web基础防护类常见问题。 如何将Web基础防护的仅记录模式切换为拦截模式？ 执行以下操作完成Web基础防护的防护模式切换： 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 >Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，选择“拦截”模式。 Web基础防护支持设置哪几种防护等级？ Web基础防护设置了三种防护等级：“宽松”、“中等”、“严格”，默认为“中等”。防护等级相关说明如表所示。 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求，例如jolokia网络攻击、探测CGI漏洞、探测Druid SQL注入攻击。 建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式，使WAF能有效防护更多攻击。

计费详情 分类 规格 计费模式 价格 单位 备注 : 独享模式 WI100 按需 5.5 元/个/小时 WAF实例创建类别为普通租户类需要付ECS费用。 独享模式 WI100 包年包月 2640 元/个/月 支持包年优惠，一年8.5折，2年7折，3年5折 独享模式 WI500 按需 13.1 元/个/小时 WAF实例创建类别为普通租户类需要付ECS费用。 独享模式 WI500 包年包月 6288 元/个/月 支持包年优惠，一年8.5折，2年7折，3年5折 内容安全 内容安全单次检测 按需（按次） 4280 元/网站(或新媒体账号)/次 一次性收费，不支持修改、退订或暂停服务 内容安全 文本安全监测 包月 4280 元/网站(或新媒体账号)/月 最多支持3个月 内容安全 文本安全监测 包年 16000 元/网站(或新媒体账号)/年 仅支持包一年 说明 Web应用防火墙（独享版）需要配合VPC使用，购买时选择被防护源站所在的VPC即可。 注意 WAF实例创建类别： 资源租户类：WAF实例将通过弹性网卡接入租户网络（若使用ELB接入，那么仅支持独享型ELB）,目前仅部分支持。购买时无需付ECSf费用。 普通租户：WAF实例将直接创建在租户ECS中，租户可以在ECS服务页面看到WAF实例所在的弹性云服务器。购买时需要付ECS费用。

本小节介绍云堡垒机续订的操作方法。 控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 堡垒机续费不会自动续费云主机，请您手动续订对应云主机。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择续订管理，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。 退订

前提条件 当前账号下已创建对等连接，详细操作请参见创建对等连接。 仅“企业版”支持开启对等连接防护。 一个对等连接防护将消耗1个“VPC边界防火墙配额数” 配额，在开启防护前，确保有足够的VPC边界防护配额。 开启对等连接防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“对等连接”页签，找到需要开启防护的对等连接实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有对等连接资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 对等连接列表展示当前账号下所有对等连接。列表包括名称、状态、连接类型、本端VPC、本端VPC网段、对端VPC、对端VPC网段、防护状态。 4. 进入开启对等连接防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 注意 若VPC下有多个业务子网，每个业务子网须分别进行引流配置。在“本端业务子网”下拉框选择不同业务子网以查看对应配置步骤。 4. 开启防护成功。