2.5.2 热门问题 该模块内您可以查看常见问题及解决方案。 三、常见问题与排查 Q1：点击 OpenClaw Banner 后未跳转至套餐订购页？ A： 1. 检查网络连接是否正常，尝试刷新页面。 2. 清除浏览器缓存或切换至无痕模式重试。 3. 若仍异常，请联系天翼云技术支持。 Q2：套餐概览中未显示我的 7 天体验版？ A：套餐概览模块仅展示Lite 基础套餐与Pro 高级套餐，7 天体验版仅对新用户展示（未订购应用托管产品的用户）。

更换布局 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 目录定制”，进入目录定制页面。 5. 单击目标目录所在行“操作”列的“更换布局”，弹出更换布局页面。 6. 在更换布局页面中，选择需要替换的布局。 7. 单击“确定”。

本章节主要介绍如何创建一个新的翼MapReduce集群。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择所需业务场景，此处以“数据湖”场景为例进行说明。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：由可选组件和必选组件组成，根据业务场景而定。您可根据自身业务场景对可选组件进行选择。 元数据：使用Hive、Ranger、Amoro、Hue或DolphinScheduler组件服务时，需要配置元数据库。请先确认是否已有CTRDS MySQL实例，若尚未创建，可点击提示链接，前往“关系数据库MySQL版”进行开通。若已创建实例，请勾选该选项并进行元数据配置。 元数据配置：勾选“使用已有CTRDS for MySQL”后，请在展开信息中填写所需的5项配置信息。 注意 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置Hive、Ranger、Amoro、Hue与DolphinScheduler的元数据信息时，请提前创建数据库，若需要部署多个服务，请创建多个数据库，创建方式可参考创建数据库。 3、元数据配置所需信息可前往数据库控制台查看。 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致Hive/Ranger/Amoro/Hue/DolphinScheduler异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息。 Kerberos身份认证：集群中的软件以Kerberos安全模式启动，此选项不可关闭。 自定义服务配置：支持指定JSON文件对集群中的组件服务，如HDFS、Spark、Hive等进行参数配置，详细使用方法请参见++自定义服务配置++。默认不开启。

前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持账户安全防护相关功能。 配置说明 撞库防护配置说明 配置项 说明 开关 可以选择开启或者关闭撞库防护策略 处理动作 设置触发撞库策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录post包 用户Key：一般是username，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用以解密密码Key: 一般是password，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用来解密 触发条件 在【统计周期】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 密码有泄露风险 判断密码存在泄露的处理方式,日志告警/重置密码/正常访问 请求内容类型 支持选择"application/xwwwformurlencoded"或"application/json"，指正常post包的请求方式 白名单 针对误拦设置白名单，可选粒度：URI、支持配置多条，多个粒度为“且”的逻辑，多个范围为“或”的关系 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本文将介绍如何使用边缘安全加速平台安全与加速服务的内容安全监测功能。 功能介绍 天翼云监测系统平台依托海量数据训练的先进深度学习模型，能够精准监测网页中的文本与图片元素，快速识别并提取其中的敏感内容及其所属类别。平台支持多种主流内容格式，包括txt、html、wmlc、wml、xhtml、mht等，可全面覆盖各类网站的文本与图片内容监测需求。在合规性监测方面，平台涵盖涉黄、涉毒、涉政、赌博、暴恐、邪教等关键类别，能够对网站文本和图片内容进行全方位筛查，确保网络空间的健康与安全。 支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312。 监测任务发现页面出现敏感信息后，将第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为基础版及以上版本。 监测任务配置 若您需要监测网站文本、图片内容的合规性，请先配置监测任务。 配置项 配置项说明 任务名称 支持配置任务名称，如客户名内容安全监测 检测开关 开启或关闭 检测URI 默认输入/，即监测首页。默认去问号监测，即去除URL中问号（?）及其后的所有参数部分，仅对URL的主路径部分进行监测。 检测范围 默认检测当前页面及一级链接，支持配置检测范围至七级链接 监测周期 支持配置监测周期，可选3、6、12、24小时，默认监测周期为24小时 监测项 支持配置文本监测、图片监测 文本检测可支持AI审核或规则匹配，其中AI审核支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。另外支持配置白名单词库与白名单URL，在白名单范围内的信息将不进行监测。规则匹配则支持从现有的敏感词库中匹配敏感词进行监测 图片监测支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。并支持配置白名单URL，白名单内的URL将不进行监测. 支持选择是否监测外链，若现在是，可检测网站引入的外链是否有内容安全风险。 告警设置 连续检测N次异常则产生通知 通知方式 即告警通知和短信通知

本节介绍如何配置敏感信息泄露规则。 您可以添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“防敏感信息泄露”的配置框中，用户可根据自己的需要更改“状态”，单击“自定义防敏感信息泄露规则”，进入“防敏感信息泄露”规则配置页面。 步骤7 在“防敏感信息泄露”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框，添加防敏感信息泄露规则。 “防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。 敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。 响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。 参数说明： 参数名称 参数说明 取值样例 ::: 路径 需要过滤敏感信息（例如：身份证号、电话号码、电子邮箱等）或者拦截响应码的URL不包含域名的路径。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin”，该规则生效。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin 类型 敏感信息过滤：防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截：拦截指定的HTTP响应码页面。 敏感信息过滤 内容 防护“类型”对应的防护内容，支持多选。 身份证号码 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

本节介绍如何查看WAF基本信息。 前提条件 已成功添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 查看防护网站信息，参数说明如表所示。 工作模式切换：在“工作模式”列，单击“切换”，选择想要切换的工作模式。 检查网站接入状态：在“接入状态”列，可单击，刷新域名接入状态。 最近三天防护监控：在“最近三天防护监控”列，单击“查看”，查看具体的防护日志。 删除防护域名：在“操作”列，单击“删除”，可删除目标防护域名。 参数名称 参数说明 域名 防护的域名或IP。 部署模式 防护网站的部署模式，仅支持“独享模式”。 源站IP/端口 客户端访问的网站服务器的公网IP地址和WAF转发客户端请求到服务器的业务端口。 证书 绑定该域名的证书，单击证书名称，可跳转到“证书管理”页面。 近3天威胁 该域名3天内的防护情况。 工作模式 防护模式。点击切换，可选择以下两种防护模式： “开启防护”：开启状态。 “暂停防护”：关闭状态。如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测。该模式存在风险，建议您优先选择全局白名单（原误报屏蔽）规则处理正常业务拦截问题。 防护策略 显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面。 域名接入进度 网站接入WAF未完成的步骤或者接入状态。 创建时间 该域名添加到WAF的时间。 步骤6 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。 步骤7 查看防护域名的信息，如图所示。 当客户端协议选择HTTPS时，若需要更新证书，单击编辑按钮，在弹出的对话框中，上传新证书或者选择已有证书。关于证书更新的详细内容请参见：更新证书。 当客户端协议选择HTTPS时，若需要更新访问源站的TLS版本和TLS的加密套件，单击编辑按钮，在弹出的对话框中，重新选择TLS版本和TLS的加密套件。关于配置TLS的详细内容请参见：配置TLS最低版本和加密套件。 若需要修改“是否已使用代理”，可以单击编辑按钮，在弹出的对话框中，重新配置是否需要使用代理，如果需要使用代理，设置成“是”。 “告警页面”默认为“系统默认”的页面，您也可以单击编辑按钮，在弹出的对话框中，配置“自定义”或者“重定向”页面。 如果您需要针对域名的每个请求设置超时时间，开启“超时配置”并单击编辑按钮，设置“连接超时”、“读超时”、“写超时”的时间。开启后不支持关闭。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本章节为您介绍如何对接天翼云云日志管理服务 Web应用防火墙（原生版）已对接云日志服务，目前需手动配置开启，需提交工单申请。 约束限制 云日志服务中对应的存储容量若已满，WAF不会删除旧日志，需要您手动及时扩容，否则无法存入新的日志。 使用过程中，请不要删除对应，若删除会导致推送至云日志服务的日志丢失，且无法找回。 目前仅支持转存至华东1资源池的云日志服务。 开启步骤 1.在天翼云官网购买云日志服务。 2.在管理控制台提交工单，联系天翼云技术支持为您手动对接云日志服务，请参照下表中的内容提前准备相关信息。 参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考：如何获取AK/SK？ 日志项目（可选） 在云日志服务中创建的日志项目，可参考：管理日志项目。 不可选择默认项目：wafproject。 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考：管理日志单元。 不可选择默认单元：wafattackunit 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 3.待处理完成后，即可在云日志服务控制台查看日志信息，下表为日志字段说明。 规则类型 Code Name 对应产品模块 系统规则 sysrule Web 基础防护模块 CC 规则 ccrule CC 防护模块 BOT 规则 botrule BOT 防护模块 精准防护规则 userdefinedrule 精准防护模块 IP 规则 iprule IP 防护模块 地域规则 georule 地域防护模块 规则白名单 sysrulewhitelist Web 基础防护模块系统规则白名单 响应信息检测规则 responserule 响应信息检测与脱敏模块 QPS超限规则 qpsexceeded 访问控制模块 带宽超限规则 bandwidthexceeded 访问控制模块 Cookie 防篡改 cookietamperproof Cookie 防篡改模块 隐私屏蔽 privacymask 隐私屏蔽模块 防护白名单规则 protectionwhite 防护白名单 攻击惩罚规则 attackpenalty 攻击惩罚 增强BOT规则 enhancebotrule BOT防护模块 全局IP黑白名单规则 globaliprule 全局IP黑白名单模块 全局防护白名单规则 globalprotectionwhite 全局防护白名单模块 全局精准防护规则 globaluserdefinedrule 全局精准防护模块

本节介绍了升级RDS MySQL实例内核小版本的操作场景、升级方案、注意事项、操作步骤等内容。 操作场景 关系型数据库MySQL版支持自动或手动升级内核小版本，内核小版本的升级涉及性能提升、新功能或问题修复等。 升级方案 根据升级时间不同，升级内核小版本可以分为以下两种方式。 立即升级：您可以根据实际业务情况，在目标实例的“基本信息”页面手动升级内核小版本。 可维护时间段内升级：您可以在您设置的可维护时间段内进行升级，详情参见设置可维护时间段。 如果当前实例的内核版本存在已知潜在风险、重大缺陷，或者已过期、已下线，系统会通过短信、邮件等渠道进行提前通知，并在可维护时间段内下发升级任务。 注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时手动立即升级或者设置可维护时间段升级小版本。 升级数据库内核小版本会重启RDS for MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 升级内核小版本期间，除了主备切换时的网络闪断外，由于主备之间默认是半同步复制，升级过程中会有两次单条SQL持续最长十秒的更新及写入等待，用户可通过修改主备间的复制模式为异步来规避此场景。 如果主备实例在同一个AZ，升级内核小版本会触发一次主备倒换；如果主备实例在不同AZ，则会触发两次主备倒换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本时，如果RDS实例为DRS任务的源端，DRS可能会拉取不到RDS实例的日志；如果RDS实例为DRS任务的目标端，DRS可能会写不进目标库。 建议您在升级内核小版本前先确认RDS实例Binlog的保留时间： − 如果Binlog在保留时间内，待内核小版本升级完成后，DRS任务会自动重启。 − 如果Binlog不在保留时间内，您需要重新配置或创建DRS任务。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 升级小版本前建议先做一次全量备份。 升级内核小版本一般是分钟级完成。 小版本升级过程中禁止event的DDL操作，如create event、drop event和alter event。 如果小版本升级时，界面提示主节点存在DDL操作，可通过如下方式处理： − 将实例STATUS为SLAVESIDEDISABLED状态的event，更改为ENABLED或者DISABLED状态后再进行升级。 − 删除SLAVESIDEDISABLED状态的event后再进行升级。

修改聚合路由 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，点击“聚合路由”，进入聚合路由页签。 7. 在页签的聚合路由列表中，选择目标路由条目，在“操作列 ”中，点击“修改”。 8. 在修改聚合路由页面中，根据提示，修改参数，点击“确认”完成修改。 参数 说明 目标范围 单选，指定路由的目标传播对象类型。 描述 描述内容。 删除聚合路由 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，点击“聚合路由”，进入聚合路由页签。 7. 在页签的聚合路由列表中，选择目标路由条目，在“操作列 ”中，点击“删除”。 8. 在删除确认页面中，点击“确认”完成删除。

文件系统类型 按需标准价格 备注 SFS Turbo标准型 0.45元/GB/月 500G起订 SFS Turbo性能型 1.85元/GB/月 500G起订 SFS Turbo标准型增强版 0.45元/GB/月 10TB起订 SFS Turbo性能型增强版 1.85元/GB/月 10TB起订 SFS Turbo标准型专属 0.2元/GB/月 100G起订，存储独享型专属云 SFS Turbo性能型专属 0.6元/GB/月 100G起订，存储独享型专属云

操作系统 操作系统位数 支持版本 Ubuntu X64 14.04、16.04、18.04、20.04 Debian X64 7.6、8.7、9.5、10.11、11.2 CentOS X64 5.11、6.0、7.4、7.6、8 RedHat X64 6.5、7.0、7.5 SUSE X64 11SP4、12SP4 Solaris X86 X86 5.10、5.11 Solaris Sparc X64 5.10 AIX 5.3、6.1、7.1 EulerOS（欧拉） x64 EulerOS 2.0 SP9 银河麒麟 aarch64 v10服务器版 兆芯cpu+银河麒麟系统 x64 v10服务器版 兆芯cpu+中标麒麟系统 x64 7 兆芯cpu+统信UOS x86 v20 海光cpu+统信UOS x64 v20 鲲鹏cpu+统信UOS aarch64 v20

本文向您介绍如何为企业版VPN网关绑定弹性IP。 场景描述 用户根据需要为已创建的VPN网关绑定EIP。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 选择目标VPN网关所在行，单击操作列的“绑定EIP”。 如果VPN网关是双活模式，VPN网关支持绑定主EIP/主EIP2。 如果VPN网关是主备模式，VPN网关支持绑定主/备EIP。 4. 根据界面提示，选择需要绑定的EIP，单击“确定”。

图片审核的功能怎么收费？ 图片审核功能是按需收费，图片审核分为两种方式，一种是确认审核的图片，一种是不确认审核的图片，当前指针对确认审核的图片进行按需计费，不确认审核的图片不收取费用。收费标准为1.3元/千张。 网站安全监测的版本，是否支持变更？ 目前套餐支持升级，暂时不支持降级，本月升级，立即生效。 网站安全监测的计费项有哪些？ 计费模式分为预付费和按需付费两种：版本和网站数量为预付费，图片审核为按需付费。 网站安全监测每个版本中的域名数量阶梯收费怎么理解？ 每个版本对应的域名数量价格是不同的，体验版每个域名是560元/月，专业版每个域名是1260元/月，旗舰版每个域名是2160元/月，每个版本的域名是根据客户接入的域名数量进行阶梯收费，每个版本域名数量>10个时，为版本域名价格的6折 ；>30个时，为5折；>50个时，为4折。 网站安全监测服务中的图片审核怎么开通和收费？ 图片审核功能为按需服务，可以直接在控制台开通，按需收费，开通之后根据客户的实际用量收取费用。

当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，以验证配置的WAF防护规则是否生效，即验证配置防护规则的防护效果。本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。 应用示例 例如，您的业务部署在“/product”路径下，由于生态开发，针对参数ID存在用户提交脚本或富文本的业务场景，为了确保业务正常运行，您需要对用户提交的内容进行误报屏蔽，以屏蔽误拦截的访问请求，提升WAF防护效果。 前提条件 防护网站已成功接入WAF。 已开启“Web基础防护”，且防护模式为“拦截”。同时，“常规检测”已开启。 操作步骤 步骤 1 下载并安装Postman。 步骤 2 在Postman上设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 步骤 3 处理误报事件。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域或项目。 3. 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 在防护事件页面，WAF拦截的防护事件命中了“XSS攻击”的“010000”规则。 6. 在该防护事件所在行的“操作”列中，单击“更多 > 误报处理”。 7. 在弹出的“误报处理”对话框中，添加全局白名单（原误报屏蔽）规则。 8. 单击“确认添加”。防护规则生效需要5分钟左右。 步骤 4 在Postman上再次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求还是被拦截。 步骤 5 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110053”规则的误报防护事件。 步骤 6 在Postman上第三次设置请求路径为“/product”，参数ID为普通测试脚本，防护网站的访问请求仍被拦截。 步骤 7 参照步骤3，查看防护事件，处理命中“XSS攻击”的“110060”规则的误报防护事件。 步骤 8 在Postman上第四次设置请求路径为“/product”，参数ID为普通测试脚本。此时，防护网站的访问请求不再被拦截，说明所有全局白名单规则都已生效。同时，查看“防护事件”页面，防护事件列表也没有新增的XSS攻击防护事件。 步骤 9 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他参数的XSS攻击事件。 1. 在Postman上设置请求路径为“/product”，参数item为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截参数item的XSS攻击事件。 步骤 10 在Postman上模拟攻击，验证设置的全局白名单（原误报屏蔽）规则不会影响WAF拦截其他路径的XSS攻击事件。 1. 在Postman上设置请求路径为“/order”，参数ID为普通测试脚本，防护网站的访问请求被拦截。 2. 查看“防护事件”页面，WAF拦截“URL”为“/order”、参数ID的XSS攻击事件。

您可以通过Web应用防火墙服务配置隐私屏蔽规则。隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 系统影响 配置隐私屏蔽规则后，防护事件中将屏蔽敏感数据，防止用户隐私泄露。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“隐私屏蔽”配置框中，用户可根据自己的需要更改“状态”，单击“自定义隐私屏蔽规则”，进入隐私屏蔽规则配置页面。 步骤7 在“隐私屏蔽”规则配置页面左上角，单击“添加规则”。 步骤8 添加隐私屏蔽规则，根据表配置参数。 添加隐私屏蔽规则参数说明： 参数 参数说明 取值样例 ::: 路径 完整的URL链接，不包含域名。 前缀匹配：以结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin ”。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有连续的多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin/login.php 例如：需要防护的URL为“ 屏蔽字段 设置为屏蔽的字段。 Params：请求参数。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Form：表单参数。 “屏蔽字段”为“Params”时，屏蔽字段名请根据实际使用需求设置，如果设置为“id”，设置后，与“id”匹配的内容将被屏蔽。 屏蔽字段”为“Cookie”时，屏蔽字段名请根据实际使用需求设置，如果设置为“name”，设置后，与“name”匹配的内容将被屏蔽。 屏蔽字段名 根据“屏蔽字段”设置字段名，被屏蔽的字段将不会出现在日志中。 说明 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 “屏蔽字段”为“Params”时，屏蔽字段名请根据实际使用需求设置，如果设置为“id”，设置后，与“id”匹配的内容将被屏蔽。 屏蔽字段”为“Cookie”时，屏蔽字段名请根据实际使用需求设置，如果设置为“name”，设置后，与“name”匹配的内容将被屏蔽。 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认添加”，添加的隐私屏蔽规则展示在隐私屏蔽规则列表中。

本节介绍了容器镜像服务的使用企业版实例推送和拉取镜像。 前提条件 已开通企业版实例 已安装Docker或者其它容器运行时客户端 获取登录实例命令 1、进入容器镜像服务控制台 。 2、点击已开通的实例名称，左侧导航栏点击【实例管理 >访问凭证】，进入访问凭证页面。页面中可查看登录实例的命令。 3、登录用户名、密码是开通企业版实例时所填写的用户名、密码。如果忘记密码，可以点击页面中重置密码按钮来设置新密码。 创建命名空间 1、进入容器镜像服务控制台 。 2、点击已开通实例名称。左侧导航栏点击【容器镜像>命名空间】。点击页面的创建命名空间按钮。 3、填写命名空间名称，点击创建 。 创建镜像仓库 1、进入容器镜像服务控制台。 2、点击已开通实例名称，左侧导航栏点击【容器镜像>镜像仓库】 ，点击创建仓库按钮。 3、选择镜像仓库所属的命名空间，填写镜像仓库的名称，点击创建。 注意 仓库类型设置为公开，会使镜像能够被匿名拉取，请谨慎设置。

部署策略组 “所有项目”中的策略组，可以部署给您所在的任意企业项目中的任意一台开启旗舰版防护的主机。以“在“所有项目”中创建策略组“hsstest”，将创建的策略组部署给任意一台开启旗舰版防护的主机”为例说明。 1、选择“安全运营 > 策略管理 > 所有项目”，单击“复制”，在所有项目中，创建策略组。 复制默认策略组 2、在弹出的窗口中，输入策略组名称，例如“hsstest”，如图所示。 配置策略组 3、单击“确定”，完成策略组的创建。您可以根据您的需要单击策略组的名称，配置策略组。 4、选择“主机管理 > 所有项目”，选择任意一台开启旗舰版防护的主机，单击“部署策略”，为主机部署创建的“hsstest”策略组。 部署自定义策略 5、在弹出的窗口中，选择策略组，如图所示。 选择待部署的策略组 6、单击“确定”，完成策略组的部署。

本文介绍只读实例的基本作用、架构、应用场景、使用限制等。 只读实例简介 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法承受读取压力，甚至对业务产生影响。为实现SQL Server读能力的弹性扩展，分担数据库读压力，您可以创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求。 基本架构 只读实例基于SQL Server源生的AlwaysOn技术实现，通过物理复制方式实现主实例到只读实例的数据同步。只读实例节点以异步的方式加入主实例的AlwaysOn集群并作为其中一个辅助节点。只读实例的拓扑图如下所示。 使用限制 目前仅2022企业版、2019企业版、2017企业版的主备实例支持创建只读实例。 1个主实例最多支持创建5个只读实例。 不支持单独购买只读实例，需要购买主实例后，才能购买只读实例。 只读实例采用单节点结构，没有备节点。 只读实例需要与主实例在同一区域，但是可以选择不同可用区。 计费标准 只读实例需要额外收费，目前仅支持按需计费。计费详情请参见计费说明产品资费只读实例。 应用场景 单个实例负载过大时，可以创建只读实例，将读请求转发至只读实例，用于缓解主实例负载。 面对报表分析等场景，使用只读实例查询分析大量数据，不影响主实例。 面对容灾场景，使用只读实例作为主实例的容灾备份。

本文为您介绍查看网络实例的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，在“网络连接实例管理”页签，可以查看已经加载的网络实例。

1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“复制”。 7. 在弹出复制版本信息框中，单击“确定”。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。 容器镜像仓库服务文档参考：容器镜像服务文档。 配置说明 创建弹性容器实例时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。

本文向您介绍如何删除企业版VPN的对端网关。 场景描述 用户根据实际需要删除已创建的对端网关。 约束与限制 若对端网关已被VPN连接关联，则无法直接删除该对端网关，需要先将该对端网关在VPN连接中移除。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 在“对端网关”界面，选择目标对端网关所在行，单击操作列的“删除”。 4. 确定要删除的对端网关信息，单击“是”。

指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 方法调用（invocation，方法调用指标集。） serviceUniqueName serviceUniqueName 服务唯一标识（group+interface+version） ENUM LAST 方法调用（invocation，方法调用指标集。） method method 方法 ENUM LAST 方法调用（invocation，方法调用指标集。） lastError lastError 错误信息 STRING LAST 方法调用（invocation，方法调用指标集。） slowTraceId slowTraceId 慢调用traceId STRING LAST 方法调用（invocation，方法调用指标集。） errorTraceId errorTraceId 错误traceId STRING LAST 方法调用（invocation，方法调用指标集。） range1 range1 响应时间在010ms范围请求数 INT SUM 方法调用（invocation，方法调用指标集。） range2 range2 响应时间在10100ms范围请求数 INT SUM 方法调用（invocation，方法调用指标集。） range3 range3 响应时间在100500ms范围请求数 INT SUM 方法调用（invocation，方法调用指标集。） range4 range4 响应时间在5001000ms范围请求数 INT SUM 方法调用（invocation，方法调用指标集。） range5 range5 响应时间在110s范围请求数 INT SUM 方法调用（invocation，方法调用指标集。） range6 range6 响应时间在10s以上请求数 INT SUM 方法调用（invocation，方法调用指标集。） invokeCount invokeCount 调用次数 INT SUM 方法调用（invocation，方法调用指标集。） totalTime 总响应时间 总响应时间 ms INT SUM 方法调用（invocation，方法调用指标集。） maxTime 最大响应时间 最大响应时间 ms INT MAX 方法调用（invocation，方法调用指标集。） errorCount errorCount 错误数 INT SUM 方法调用（invocation，方法调用指标集。） runningCount runningCount 当前正在执行数量 INT SUM 方法调用（invocation，方法调用指标集。） concurrentMax concurrentMax 最大并发数 INT MAX 方法调用（invocation，方法调用指标集。） source source 调用源 ENUM LAST 主机汇总（cluster，按照主机汇总指标集。） cluster cluster 主机 ENUM LAST 主机汇总（cluster，按照主机汇总指标集。） range1 range1 响应时间在010ms范围请求数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） range2 range2 响应时间在10100ms范围请求数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） range3 range3 响应时间在100500ms范围请求数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） range4 range4 响应时间在5001000ms范围请求数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） range5 range5 响应时间在110s范围请求数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） range6 range6 响应时间在10s以上请求数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） invokeCount invokeCount 调用次数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） totalTime 总响应时间 总响应时间 ms INT SUM 主机汇总（cluster，按照主机汇总指标集。） maxTime 最大响应时间 最大响应时间 ms INT MAX 主机汇总（cluster，按照主机汇总指标集。） errorCount errorCount 错误数 INT SUM 主机汇总（cluster，按照主机汇总指标集。） runningCount runningCount 当前正在执行数量 INT SUM 主机汇总（cluster，按照主机汇总指标集。） concurrentMax concurrentMax 最大并发数 INT MAX 返回码汇总（resultCode，返回码汇总指标集。） code code 返回码 ENUM LAST 返回码汇总（resultCode，返回码汇总指标集。） count count 调用次数 INT SUM 返回码汇总（resultCode，返回码汇总指标集。） lastMethod lastMethod 最近异常类型 STRING LAST 汇总（total，汇总指标集。） lastError lastError 错误信息 STRING LAST 汇总（total，汇总指标集。） slowTraceId slowTraceId 慢调用traceId STRING LAST 汇总（total，汇总指标集。） errorTraceId errorTraceId 错误traceId STRING LAST 汇总（total，汇总指标集。） range1 range1 响应时间在010ms范围请求数 INT SUM 汇总（total，汇总指标集。） range2 range2 响应时间在10100ms范围请求数 INT SUM 汇总（total，汇总指标集。） range3 range3 响应时间在100500ms范围请求数 INT SUM 汇总（total，汇总指标集。） range4 range4 响应时间在5001000ms范围请求数 INT SUM 汇总（total，汇总指标集。） range5 range5 响应时间在110s范围请求数 INT SUM 汇总（total，汇总指标集。） range6 range6 响应时间在10s以上请求数 INT SUM 汇总（total，汇总指标集。） invokeCount invokeCount 调用次数 INT SUM 汇总（total，汇总指标集。） totalTime 总响应时间 总响应时间 ms INT SUM 汇总（total，汇总指标集。） maxTime 最大响应时间 最大响应时间 ms INT MAX 汇总（total，汇总指标集。） errorCount errorCount 错误数 INT SUM 汇总（total，汇总指标集。） runningCount runningCount 当前正在执行数量 INT SUM 汇总（total，汇总指标集。） concurrentMax concurrentMax 最大并发数 INT MAX 线程池（threadPool，线程池指标集。） poolId poolId 线程池唯一标示 ENUM LAST 线程池（threadPool，线程池指标集。） poolType poolType dubbo自定义线程池类型（fixed、cached、limited等） STRING LAST 线程池（threadPool，线程池指标集。） activeCount activeCount 当前激活个数 INT SUM 线程池（threadPool，线程池指标集。） corePoolSize corePoolSize 核心线程数 INT SUM 线程池（threadPool，线程池指标集。） maximumPoolSize maximumPoolSize 最大核心线程数 INT SUM 线程池（threadPool，线程池指标集。） poolSize poolSize 线程池大小 INT SUM 线程池（threadPool，线程池指标集。） queueSize queueSize 等待队列大小 INT SUM 线程池（threadPool，线程池指标集。） taskCount taskCount 任务数 INT SUM 客户端版本（version ，客户端版本指标集。） version version 版本 STRING LAST

CCE支持HPA策略和CustomedHPA策略两种工作负载伸缩方式。两种策略的对比如下： HPA和CustomedHPA策略对比 伸缩策略 HPA策略 CustomedHPA策略 实现方式 Kubernetes中实现POD水平自动伸缩的功能，即Horizontal Pod Autoscaling 弹性伸缩增强能力 策略规则 基于指标（CPU利用率、内存利用率），对无状态工作负载进行弹性扩缩容。 基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 主要功能 在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 指标触发 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 周期触发 支持选择天、周、月或年的具体时间点或周期作为触发时间 说明： 伸缩策略优先级：手动伸缩和自动伸缩同时配置的情况下，在不执行手动伸缩时，资源调度以自动伸缩为准，伸缩按照监控信息自动触发，如果使用手动伸缩，自动伸缩会暂时失效。 HPA工作原理 HPA（Horizontal Pod Autoscaler）是用来控制Pod水平伸缩的控制器，HPA周期性检查Pod的度量数据，计算满足HPA资源所配置的目标数值所需的副本数量，进而调整目标资源（如Deployment）的replicas字段。 想要做到自动弹性伸缩，先决条件就是能感知到各种运行数据，例如集群节点、Pod、容器的CPU、内存使用率等等。而这些数据的监控能力Kubernetes也没有自己实现，而是通过其他项目来扩展Kubernetes的能力，CCE提供如下两个插件来实现该能力： []( " ")Prometheus是一套开源的系统监控报警框架，能够采集丰富的Metrics（度量数据），目前已经基本是Kubernetes的标准监控方案。 []( " ")Metrics Server是Kubernetes集群范围资源使用数据的聚合器。Metrics Server从kubelet公开的Summary API中采集度量数据，能够收集包括了Pod、Node、容器、Service等主要Kubernetes核心资源的度量数据，且对外提供一套标准的API。 使用HPA（Horizontal Pod Autoscaler）配合Metrics Server可以实现基于CPU和内存的自动弹性伸缩，再配合Prometheus还可以实现自定义监控指标的自动弹性伸缩。 HPA主要流程如下图所示。 HPA 的核心有如下2 个部分： 监控数据来源 最早社区只提供基于CPU和Mem的HPA，随着应用越来越多搬迁到k8s上以及Prometheus的发展，开发者已经不满足于CPU和Memory，开发者需要应用自身的业务指标，或者是一些接入层的监控信息，例如：Load Balancer的QPS、网站的实时在线人数等。社区经过思考之后，定义了一套标准的Metrics API，通过聚合API对外提供服务。 − metrics.k8s.io： 主要提供Pod和Node的CPU和Memory相关的监控指标。 − custom.metrics.k8s.io： 主要提供Kubernetes Object相关的自定义监控指标。 − external.metrics.k8s.io：指标来源外部，与任何的Kubernetes资源的指标无关。 扩缩容决策算法 HPA controller跟据当前指标和期望指标来计算缩放比例，计算公式如下： desiredReplicas ceil[currentReplicas ( currentMetricValue / desiredMetricValue )] 例如当前的指标值是200m，目标值是100m，那么按照公式计算期望的实例数就会翻倍。那么在实际过程中，可能会遇到实例数值反复伸缩，导致集群震荡。为了保证稳定性，HPA controller从以下几个方面进行优化： − 冷却时间：在1.11版本以及之前的版本，社区引入了horizontalpodautoscalerdownscalestabilizationwindow和horizontalpodautoScalerupscalestabilizationwindow这两个启动参数代表扩容冷却时间和缩容冷却时间，这样保证在冷却时间内，跳过扩缩容。1.14版本之后引入延迟队列，保存一段时间内每一次检测的决策建议，然后根据当前所有有效的决策建议来进行决策，从而保证期望的副本数尽量小的发生变更，保证稳定性。 − 忍受度：可以看成一个缓冲区，当实例变化范围在忍受范围之内的话，保持原有的实例数不变。 首先定义ratio currentMetricValue / desiredMetricValue 当ratio – 1.0 tolerance时， 就会根据之前的公式计算期望值。 当前社区版本中默认值为0.1 由于当前冷却时间窗，忍受度都是全局的参数，对于用户来说，可能应用所需的忍受度和冷却时间窗都不一致，所以当前CCE在社区的基础上，提供应用级别的忍受度和冷却时间窗。 HPA是基于指标阈值进行伸缩的，常见的指标主要是 CPU、内存，当然也可以通过自定义指标，例如QPS、连接数等进行伸缩。但是存在一个问题：基于指标的伸缩存在一定的时延，这个时延主要包含：采集时延(分钟级) + 判断时延(分钟级) + 伸缩时延(分钟级)。这个分钟级的时延，可能会导致应用CPU飚高，相应时间变慢。为了解决这个问题，CCE提供了定时策略，对于一些有周期性变化的应用，提前扩容资源，而业务低谷时，定时回收资源。

数据传输服务DTS是否支持关系型数据库的HA实例迁移？ 对于源数据库实例为MySQL的情况，DTS支持HA迁移。以下是一些条件和说明： GTID：源数据库实例需要开启GTID（Global Transaction Identifier）模式。GTID 为全局事务ID，用于保证提交的事务在主从复制中有唯一的ID。 HA实例的VIP：HA实例需要提供虚拟IP（VIP），以便在故障切换时可以自动切换到备用实例。 在满足上述条件的情况下，DTS可以实现MySQL数据库的HA实例迁移。当迁移过程中源数据库实例短暂断开连接时，DTS会尝试自动重连，并从断开连接前的位点接续之前的迁移任务。从而确保数据的连续性和一致性。 数据传输服务DTS对源数据库有什么要求？ 目前数据传输服务支持MySQL到MySQL、PostgreSQL到PostgreSQL、SQL Server到SQL Server的数据迁移和数据同步。支持DDS/MongoDB>DDS/MongoDB的数据迁移。对源数据库的要求如下： MySQL到MySQL的数据迁移/数据同步：支持RDS for MySQL或自建 MySQL 5.6部分版本/5.7/8.0，且自建数据库的源数据库版本不得高于目标数据库版本。 PostgreSQL到PostgreSQL的数据迁移/数据同步：支持RDS for PostgreSQL或自建PostgreSQL 9.6/10/11/12/13/14/15，且源数据库版本不得高于目标数据库版本。 DDS/MongoDB到DDS/MongoDB的数据迁移：支持DDS 3.0/4.0（副本集）或自建MongoDB 3.4/4.0/4.2/4.4/5.0/6.0（副本集），目标库大版本号建议不低于源库。 SQL Server到SQL Server的数据迁移/数据同步：支持RDS for SQL Server 2016 标准版/2016 企业版或自建SQL Server 2016 标准版/2016 企业版，且源数据库版本不得高于目标数据库版本。

立即执行某个检查计划 本部分将介绍如何立即执行某个检查计划，配置后，系统将立即执行已选择的检查计划，开始检查遵从包中的检查项目。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。 系统将立即执行已选择的基线检查计划。 立即检查某个或某些检查项目 本部分介绍如何立即检查某个或某些检查项。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，默认进入检查结果页面。 5. 立即检查某个或某些检查项目。 某个检查项目 1. 在检查结果页面下方检查项目列表中，单击目标自动检查项所在行操作列的“立即检查”。 2. 在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。 某些检查项目 1. 在检查结果页面下方检查项目列表中，勾选多个待检查的自动检查项目，并单击列表左上方的“立即检查”。 2. 在弹出的确认框中，单击在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。

本节主要介绍如何导入、导出情报指标。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 最多支持导出9999条情报指标信息。 导入指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，单击指标列表左上角的“导入”。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入情报指标信息。 7. 待导入情报指标文件填写完成后，在导入情报指标对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，勾选您需要导出的指标，并单击列表右上角的，弹出导出对话框。 6. 在导出指标对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的指标列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载指标excel表格到本地。

本节主要介绍如何导入、导出事件。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 最多支持导出9999条事件信息。 导入事件 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面中，单击事件表格左上角的“导入”。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入事件信息。 7. 待导入事件文件填写完成后，在导入事件对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出事件 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面，勾选您需要导出的事件，并单击列表右上角的，弹出导出对话框。 6. 在导出事件对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的事件列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载事件excel表格到本地。

操作场景 某企业分别在天翼云VPC和阿里云VPC中部署了应用服务，现在该企业希望通过智能网关将企业总部和本地分支机构分别与天翼云和阿里云上的资源进行互通。 前提条件 在开始本教程前，确保您已经完成了以下操作： 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在天翼云创建了VPC实例，具体操作，请参见创建虚拟私有云VPC。 您已经完成了天翼云云间高速（标准版）的创建，加入天翼云VPC，需要关联云间高速（标准版）。具体操作，请参见云间高速（标准版）实例快速入门。 操作步骤 步骤一：购买智能网关（vCPE） 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、“.”、“”、“”。 区域 所属位置信息。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 网关形态 选择软件版。 设备类型 vCPE。 使用方式 可选择单机、双机备份。 购买数量 购买智能网关的个数。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。

如果不再需要某个工作空间，可以参照本节进行删除。 工作空间删除后，相关的资产会存在风险，且会影响资产的风险预防和处理，安全性能降低，删除后不可恢复，请谨慎操作。 约束与限制 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。 删除工作空间 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击待编辑工作空间右侧的，进入工作空间详情页面。 5. 在工作空间的“基本信息”页签中，单击“删除”。 6. 在弹出的删除工作空间页面中，确认无误后，勾选“永久删除工作空间”，并在“确认删除”中输入工作空间名称，并单击“删除”。 注意 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。