简述天翼云全站加速产品的HTTPS相关功能及配置方法。 什么是HTTPS？ HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTP数据传输。 HTTPS也叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 HTTPS配置概述 HTTPS配置模块主要介绍如何配置HTTPS证书，如何开启HTTPS服务、HTTP2.0、强制跳转、OCSP Stapling、HSTS、如何选择TLS协议版本，以及HTTPS Keyless加速方案和全站加速支持哪些国密算法、批量配置HTTPS证书、支持的SSL/TLS加密套件。 相关功能 功能 说明 []( 简述HTTPS定义及配置方法。 []( 简述全站加速支持的国密算法及配置方法。 HTTP2.0配置 简述HTTP2.0的定义和配置方法。 []( 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 []( Stapling 简述OCSP Stapling功能的概念、使用前提和配置方法。 HSTS 简述HSTS功能和配置方法。 []( 简述天翼云全站加速产品支持的TLS协议版本和配置方法。 []( 简述全站加速节点无需部署私钥的情况下如何加速HTTPS业务。 []( 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 加密套件 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 双向认证 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。

媒体存储为客户提供丰富的数据管理、数据处理、数据安全的产品能力。 块存储 产品能力 功能说明 接入方式 支持iSCSI接入方式。 块空间管理 支持通过控制台管理块设备资源，包括创建、扩容、删除等操作。 鉴权管理 可通过控制台管理文件资源访问权限，接入使用资源时进行鉴权。 文件存储 产品能力 功能说明 接入方式 提供NFS、CIFS两种类型接口，支持NFSV4.0、SMB2、SMB3协议。 文件空间管理 支持通过控制台管理文件资源，包括创建、扩容、删除等操作。 鉴权管理 可通过控制台管理文件资源访问权限，接入使用资源时进行鉴权。 对象存储 产品能力 功能说明 对象管理 支持文件的上传/分片上传/追加上传、下载、删除、复制、前缀搜索、移动功能、追加上传支持整个对象内容MD5计算、可自定义元数据。 对象标签 通过对象（Object）标签功能，对Object进行分类管理，比如列举指定标签的Object、对指定标签的Object配置统一的生命周期。 跨域资源共享 通过桶上配置跨域规则，允许或禁止某些网站的跨域请求。 生命周期 对象存储支持按照过期天数等灵活的策略配置生命周期管理机制。 镜像回源 通过镜像回源功能，当请求者向存储桶（Bucket）请求不存在的文件时，从回源规则设置的源站获取目标文件。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 桶清单 通过桶清单功能，定时生成桶内指定文件（Object）的数量、大小、存储类型、加密状态的清单信息，并保存到指定Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 桶标签 通过存储桶（Bucket）的标签功能， 对 Bucket 进行分类管理，比如列举带有指定标签的Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 文件解压缩 通过压缩包解压规则，当上传满足条件的压缩包文件时，服务将自动解压该压缩包后，将文件保存到Bucket中。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 访问权限 支持基于资源的访问权限策略，包括Bucket ACL、Object ACL、 Bucket Policy。 防盗链 可通过是否允许空Referer或黑白名单设置，校验访问账号内资源操作的合法性。 主子账号 可基于子账号进行资源访问与管理授权。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 STS角色管理 支持STS临时凭证，可对其他用户颁发临时凭证，无需透露owner的AKSK。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 合规保留 媒体存储以“不可删除、不可篡改”方式保存和使用数据。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 版本控制 针对Object的覆盖和删除操作将会以版本的形式保存下来，可将 Object 恢复至指定的历史版本。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 服务端加密 媒体存储可对收到的文件进行加密，再保存加密后的文件，用户下载文件时，服务自动将加密文件解密后返回给用户。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 存储桶复制 支持跨不同存储区域或同一存储区域的Bucket 自动、异步（近实时）复制对象（Object）。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 数据迁移 支持多种数据迁移能力，可以满足客户多种数据迁移场景，包括存储桶迁移、跨账号迁移、跨云数据迁移。 事件通知 当资源发生变动时，用户可及时接收通知消息。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 日志存储 通过日志存储功能，将操作日志按照固定的命名规则，以5分钟为单位写入指定的Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 告警管理 支持告警规则管理，包括添加告警规则，管理告警规则，查看告警消息等。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 自定义域名 通过自定义域名绑定功能，可以通过已绑定的自定义域名访问存储桶内的文件。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 操作日志 支持查询指定时间内在控制台操作的相关日志。 实时日志查询 支持查询通过API或SDK操作对象存储的相关日志。目前实时日志查询为内测功能，如需使用，可联系客户经理或提交工单申请。 用量统计 统计并支持查询存储空间、流量与请求次数用量信息。 图片处理 提供的产品自带图片处理功能，包括基础图片转换、水印功能、原图保护、视频截帧、数据处理持久化保存等功能。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 视频截帧 对象存储内置提供视频截帧功能，可截取出H264视频文件中的指定位置内容的对应图片。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 工具指南 提供图形化客户端工具以及网络测速工具。 API接口 提供REST形式的访问接口，可直接调用相应接口完成操作。 SDK 对媒体存储提供的REST API进行的封装，可直接调用SDK提供的接口函数进行使用。

本文为您介绍查看云企业路由器中路由表的操作流程。 在云间高速（标准版）实例中。查看目标资源池云企业路由器实例的路由表信息。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页面左侧可以查看当前云企业路由器下的路由表。

本节介绍了访问凭证(企业版)的用户指南。 概述 在拉取私有镜像或者上传镜像前，需要docker login输入您的用户名/密码作为访问凭证，容器镜像服务支持重置访问凭证的密码。 登录实例 1. 进入容器镜像服务控制台. 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击"访问控制" "访问凭证"，进入访问凭证页面。 4. 根据当前界面给出的操作指引，登录实例。 重置密码 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击"访问控制" "访问凭证"，进入访问凭证页面。 4. 点击页面中的重置密码按钮。 5. 输入新密码并点击设置即可完成重置密码。

CCE支持HPA策略和CustomedHPA策略两种工作负载伸缩方式。两种策略的对比如下： HPA和CustomedHPA策略对比 伸缩策略 HPA策略 CustomedHPA策略 实现方式 Kubernetes中实现POD水平自动伸缩的功能，即Horizontal Pod Autoscaling 弹性伸缩增强能力 策略规则 基于指标（CPU利用率、内存利用率），对无状态工作负载进行弹性扩缩容。 基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 主要功能 在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 指标触发 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 周期触发 支持选择天、周、月或年的具体时间点或周期作为触发时间 说明： 伸缩策略优先级：手动伸缩和自动伸缩同时配置的情况下，在不执行手动伸缩时，资源调度以自动伸缩为准，伸缩按照监控信息自动触发，如果使用手动伸缩，自动伸缩会暂时失效。 HPA工作原理 HPA（Horizontal Pod Autoscaler）是用来控制Pod水平伸缩的控制器，HPA周期性检查Pod的度量数据，计算满足HPA资源所配置的目标数值所需的副本数量，进而调整目标资源（如Deployment）的replicas字段。 想要做到自动弹性伸缩，先决条件就是能感知到各种运行数据，例如集群节点、Pod、容器的CPU、内存使用率等等。而这些数据的监控能力Kubernetes也没有自己实现，而是通过其他项目来扩展Kubernetes的能力，CCE提供如下两个插件来实现该能力： []( " ")Prometheus是一套开源的系统监控报警框架，能够采集丰富的Metrics（度量数据），目前已经基本是Kubernetes的标准监控方案。 []( " ")Metrics Server是Kubernetes集群范围资源使用数据的聚合器。Metrics Server从kubelet公开的Summary API中采集度量数据，能够收集包括了Pod、Node、容器、Service等主要Kubernetes核心资源的度量数据，且对外提供一套标准的API。 使用HPA（Horizontal Pod Autoscaler）配合Metrics Server可以实现基于CPU和内存的自动弹性伸缩，再配合Prometheus还可以实现自定义监控指标的自动弹性伸缩。 HPA主要流程如下图所示。 HPA 的核心有如下2 个部分： 监控数据来源 最早社区只提供基于CPU和Mem的HPA，随着应用越来越多搬迁到k8s上以及Prometheus的发展，开发者已经不满足于CPU和Memory，开发者需要应用自身的业务指标，或者是一些接入层的监控信息，例如：Load Balancer的QPS、网站的实时在线人数等。社区经过思考之后，定义了一套标准的Metrics API，通过聚合API对外提供服务。 − metrics.k8s.io： 主要提供Pod和Node的CPU和Memory相关的监控指标。 − custom.metrics.k8s.io： 主要提供Kubernetes Object相关的自定义监控指标。 − external.metrics.k8s.io：指标来源外部，与任何的Kubernetes资源的指标无关。 扩缩容决策算法 HPA controller跟据当前指标和期望指标来计算缩放比例，计算公式如下： desiredReplicas ceil[currentReplicas ( currentMetricValue / desiredMetricValue )] 例如当前的指标值是200m，目标值是100m，那么按照公式计算期望的实例数就会翻倍。那么在实际过程中，可能会遇到实例数值反复伸缩，导致集群震荡。为了保证稳定性，HPA controller从以下几个方面进行优化： − 冷却时间：在1.11版本以及之前的版本，社区引入了horizontalpodautoscalerdownscalestabilizationwindow和horizontalpodautoScalerupscalestabilizationwindow这两个启动参数代表扩容冷却时间和缩容冷却时间，这样保证在冷却时间内，跳过扩缩容。1.14版本之后引入延迟队列，保存一段时间内每一次检测的决策建议，然后根据当前所有有效的决策建议来进行决策，从而保证期望的副本数尽量小的发生变更，保证稳定性。 − 忍受度：可以看成一个缓冲区，当实例变化范围在忍受范围之内的话，保持原有的实例数不变。 首先定义ratio currentMetricValue / desiredMetricValue 当ratio – 1.0 tolerance时， 就会根据之前的公式计算期望值。 当前社区版本中默认值为0.1 由于当前冷却时间窗，忍受度都是全局的参数，对于用户来说，可能应用所需的忍受度和冷却时间窗都不一致，所以当前CCE在社区的基础上，提供应用级别的忍受度和冷却时间窗。 HPA是基于指标阈值进行伸缩的，常见的指标主要是 CPU、内存，当然也可以通过自定义指标，例如QPS、连接数等进行伸缩。但是存在一个问题：基于指标的伸缩存在一定的时延，这个时延主要包含：采集时延(分钟级) + 判断时延(分钟级) + 伸缩时延(分钟级)。这个分钟级的时延，可能会导致应用CPU飚高，相应时间变慢。为了解决这个问题，CCE提供了定时策略，对于一些有周期性变化的应用，提前扩容资源，而业务低谷时，定时回收资源。

本节介绍了常见问题:命名空间相关问题。 创建命名空间失败 如果提示已超过配额，需增加配额（个人版暂不支持）或者删除已创建的命名空间。 企业版可按需付费，购买增加命名空间。 能否恢复已删除的命名空间 无法恢复，删除命名空间是不可逆的操作。

编程Token Plan GLM Coding Plan 支持的模型 GLM5（正式版）（ModelID：GLM5Pro） DeepSeekV3.2（旗舰版）（ModelID：DeepSeekV3.2Pro） GLM5、GLM5.1、GLM5Turbo等GLM系列模型 计量方式 按 Token 消耗 按Prompt次数 使用频次 每月限额 每5小时/每周限额

本文介绍如何购买云防火墙。 云防火墙支持一个账号下购买多个防火墙，便于管理不同场景下的资源和策略。 前提条件 当前账号拥有BSS Administrator权限。 版本信息说明 云防火墙支持包年/包月（预付费）计费方式，提供以下服务版本：标准版、专业版。 各版本的功能差异请参见产品功能。 各服务版本推荐使用的说明如下： 标准版 有等保需求，或对网络入侵、主机失陷等网络安全比较关注的中小型客户。 专业版 有等保或重保需求，或对网络入侵、主机失陷、内部网络互访等网络安全比较关注的中大型客户。 标准版防火墙 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 单击“购买云防火墙”，进入“购买云防火墙”页面，相关参数如下表所示。 参数名称 参数说明 计费模式 包年/包月，按配置周期计费。 区域 购买云防火墙的区域。 版本规格 选择版本：标准版。 版本规格 扩展防护公网IP数 （可选）选择需扩展的防护公网IP数，可选择范围：0~2000个 说明 此处为套餐外购买数量，例如标准版防护公网IP数默认20个（套餐内费用包含），如果您的公网IP是65个，那么只需要填写45个。 版本规格 扩展互联网边界防护带宽 （可选）选择需扩展的防护流量峰值（出流量或入流量的最大峰值），可选择范围：0~5000Mbps/月（需为5的整数倍） 说明 此处为套餐外购买流量值，例如标准版防护互联网边界流量峰值默认10Mbps（套餐内费用包含），如果您的防护流量是200Mbps，那么只需要填写190Mbps。 防护流量按照出流量或入流量的最大峰值取值。 高级设置 防火墙名称 设置当前防火墙的名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）、空格和特殊字符（）。 长度支持148个字符。 高级设置 企业项目 在下拉列表中选择防火墙归属的企业项目，选择后，防火墙将归属到该企业项目下，用于费用及账单管理；但是，云防火墙的防护层级不会发生改变，仍支持防护所有企业项目下的资源。 企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主账号的客户才可见。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 说明 “default”为默认企业项目，账号下原有资源和未选择企业项目的资源均在默认企业项目内。 高级设置 标签 （可选）如果您需要使用同一标签标识多种云资源，即所有服务均可在标签输入框下选择同一标签，建议在TMS中创建预定义标签。 购买时长 自主选择购买时长。 选择时长后，可勾选“自动续费”若您勾选并同意自动续费，则在服务到期前，系统会自动按照购买周期生成续费订单并进行续费，无需手动续费。 4. 确认购买信息无误后，单击“立即购买”。

本章节为您介绍如何配置日志告警。 添加日志告警 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，进入日志服务页面，选择需要管理的实例。 5. 单击添加告警，跳转至云日志服务控制台，单击“创建告警规则”。 6. 在新建告警规则页面填写相关内容。 参数 参数说明 填写示例 告警名称 自定义WAF日志的告警规则名称，限制064个字。 WAF日志告警 检查频率 支持固定频率或者固定时间进行告警： 固定频率：选择固定频率，时间频率可选择159分钟、123小时、131天。 固定时间：选择固定时间后，可选择一天中任意一个时间，时间支持精确到分钟。 固定频率：5分钟 固定时间：12:00 查询对象 选择需要告警需要查询的日志对象，WAF固定选择为：wafltsprojectSaaS，waflogunit。 wafltsprojectSaaS，waflogunit 说明 此日志项目及单元为开启投递日之后自动生成。 查询时间范围 针对目标日志单元进行检索时的时间范围，支持按分钟、小时为单位 起始时间5分钟前，结束时间1分钟前 查询执行语句 针对目标日志单元的查询分析条件，填入日志查询分析语句，点击【预览】按钮可预览检索结果，当检索结果满足触发条件时，则触发告警。关于如何填写查询分析语句，可参考日志查询语法与SQL统计语法。 (configdomain:log.ctyun.fit) 分组评估 基于最多两个字段的值，对查询统计的最终集合进行分组，分别对每个组评估与触发告警。选取字段的值尽可能为枚举，以免造成告警风暴。 标签自定义 触发条件 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警； 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 当有特定条数据>5 条时，告警等级一般。 标签 添加告警规则的标签名称和标签值。 通知策略 选择告警的通知策略，通知策略配置可参考：通知策略管理 不指定通知规则。 告警内容 告警内容将作为告警信息中的一个字段，告警内容支持插入各类变量。 租户账号ID 7. 单击“保存”，完成告警规则配置。

本节介绍如何配置敏感信息泄露规则。 您可以添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“防敏感信息泄露”的配置框中，用户可根据自己的需要更改“状态”，单击“自定义防敏感信息泄露规则”，进入“防敏感信息泄露”规则配置页面。 步骤7 在“防敏感信息泄露”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框，添加防敏感信息泄露规则。 “防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。 敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。 响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。 参数说明： 参数名称 参数说明 取值样例 ::: 路径 需要过滤敏感信息（例如：身份证号、电话号码、电子邮箱等）或者拦截响应码的URL不包含域名的路径。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin”，该规则生效。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin 类型 敏感信息过滤：防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截：拦截指定的HTTP响应码页面。 敏感信息过滤 内容 防护“类型”对应的防护内容，支持多选。 身份证号码 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

本节介绍如何查看WAF基本信息。 前提条件 已成功添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 查看防护网站信息，参数说明如表所示。 工作模式切换：在“工作模式”列，单击“切换”，选择想要切换的工作模式。 检查网站接入状态：在“接入状态”列，可单击，刷新域名接入状态。 最近三天防护监控：在“最近三天防护监控”列，单击“查看”，查看具体的防护日志。 删除防护域名：在“操作”列，单击“删除”，可删除目标防护域名。 参数名称 参数说明 域名 防护的域名或IP。 部署模式 防护网站的部署模式，仅支持“独享模式”。 源站IP/端口 客户端访问的网站服务器的公网IP地址和WAF转发客户端请求到服务器的业务端口。 证书 绑定该域名的证书，单击证书名称，可跳转到“证书管理”页面。 近3天威胁 该域名3天内的防护情况。 工作模式 防护模式。点击切换，可选择以下两种防护模式： “开启防护”：开启状态。 “暂停防护”：关闭状态。如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测。该模式存在风险，建议您优先选择全局白名单（原误报屏蔽）规则处理正常业务拦截问题。 防护策略 显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面。 域名接入进度 网站接入WAF未完成的步骤或者接入状态。 创建时间 该域名添加到WAF的时间。 步骤6 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。 步骤7 查看防护域名的信息，如图所示。 当客户端协议选择HTTPS时，若需要更新证书，单击编辑按钮，在弹出的对话框中，上传新证书或者选择已有证书。关于证书更新的详细内容请参见：更新证书。 当客户端协议选择HTTPS时，若需要更新访问源站的TLS版本和TLS的加密套件，单击编辑按钮，在弹出的对话框中，重新选择TLS版本和TLS的加密套件。关于配置TLS的详细内容请参见：配置TLS最低版本和加密套件。 若需要修改“是否已使用代理”，可以单击编辑按钮，在弹出的对话框中，重新配置是否需要使用代理，如果需要使用代理，设置成“是”。 “告警页面”默认为“系统默认”的页面，您也可以单击编辑按钮，在弹出的对话框中，配置“自定义”或者“重定向”页面。 如果您需要针对域名的每个请求设置超时时间，开启“超时配置”并单击编辑按钮，设置“连接超时”、“读超时”、“写超时”的时间。开启后不支持关闭。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本节介绍了升级RDS MySQL实例内核小版本的操作场景、升级方案、注意事项、操作步骤等内容。 操作场景 关系型数据库MySQL版支持自动或手动升级内核小版本，内核小版本的升级涉及性能提升、新功能或问题修复等。 升级方案 根据升级时间不同，升级内核小版本可以分为以下两种方式。 立即升级：您可以根据实际业务情况，在目标实例的“基本信息”页面手动升级内核小版本。 可维护时间段内升级：您可以在您设置的可维护时间段内进行升级，详情参见设置可维护时间段。 如果当前实例的内核版本存在已知潜在风险、重大缺陷，或者已过期、已下线，系统会通过短信、邮件等渠道进行提前通知，并在可维护时间段内下发升级任务。 注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时手动立即升级或者设置可维护时间段升级小版本。 升级数据库内核小版本会重启RDS for MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 升级内核小版本期间，除了主备切换时的网络闪断外，由于主备之间默认是半同步复制，升级过程中会有两次单条SQL持续最长十秒的更新及写入等待，用户可通过修改主备间的复制模式为异步来规避此场景。 如果主备实例在同一个AZ，升级内核小版本会触发一次主备倒换；如果主备实例在不同AZ，则会触发两次主备倒换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本时，如果RDS实例为DRS任务的源端，DRS可能会拉取不到RDS实例的日志；如果RDS实例为DRS任务的目标端，DRS可能会写不进目标库。 建议您在升级内核小版本前先确认RDS实例Binlog的保留时间： − 如果Binlog在保留时间内，待内核小版本升级完成后，DRS任务会自动重启。 − 如果Binlog不在保留时间内，您需要重新配置或创建DRS任务。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 升级小版本前建议先做一次全量备份。 升级内核小版本一般是分钟级完成。 小版本升级过程中禁止event的DDL操作，如create event、drop event和alter event。 如果小版本升级时，界面提示主节点存在DDL操作，可通过如下方式处理： − 将实例STATUS为SLAVESIDEDISABLED状态的event，更改为ENABLED或者DISABLED状态后再进行升级。 − 删除SLAVESIDEDISABLED状态的event后再进行升级。

本文介绍天翼云AOne会议其他相关问题。 AOne会议目前支持最多多少人同时参会？ AOne会议提供免费版、标准版、旗舰版 三种套餐，单会议室分别支持最多10人、100人、300人同时参会。如需更高并发容量 ，可额外订购大型会议室服务，支持扩展至500人、1000人、2000人 ，适用于员工大会、线上发布会等大规模会议场景。若有超大规模需求（2000人以上），建议开通直播观看时长服务，将会议以直播形式分享给观众观看。 AOne会议如何更新到最新版本？ AOne会议更新版本方式如下： 通过官网。进入 “关于”，单击“检查更新”，已是最新版本会提示当前是最新版，非最新版可以下载安装。

本节介绍如何查看态势感知（专业版）内置插件及详细信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 插件管理”，进入插件管理页面。 5. 在插件管理页面中，查看插件详细信息。 左侧显示内置所有插件集、插件、函数信息。 如需查看某个查看详细信息，可以单击插件名称，右侧将展示插件的详细信息。 如果查看某个函数的详细信息，可以展开插件后，单击需要查看的函数名称，右侧将展示函数的详细信息。

本文主要介绍如何通过统一使用utf8mb4字符集来实现在MySQL实例中存储emoji表情的最佳实践。 我们将从客户端、会话连接和MySQL实例等多个方面介绍如何配置和修改字符集以支持utf8mb4。 客户端和会话连接的字符集配置 为了确保能够正确存储和显示emoji表情，我们首先需要在客户端和会话连接中统一使用utf8mb4字符集。 客户端配置：保证客户端输出的字符串的字符集为utf8mb4。这可以通过设置客户端的字符集编码来实现，确保输出的数据是以utf8mb4编码发送到MySQL实例。 会话连接配置：确保到RDS实例的会话连接支持utf8mb4字符集。以JDBC连接为例，需要使用MySQL Connector/J 5.1.13及以上的版本，并且在连接串中不配置"characterEncoding"选项。 MySQL实例的字符集配置 为了完全支持utf8mb4字符集并存储emoji表情，我们需要在MySQL实例中进行相应的配置。 修改控制台参数： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击参数设置，进入参数列表页面。 5. 找到charactersetserver 参数并将其值修改为utf8mb4。 6. 单击保存。 设置数据库字符集：在创建数据库时，显式指定字符集为utf8mb4，并为数据库授权相关帐号访问权限。 配置表的字符集：在创建或修改表时，显式指定表的字符集为utf8mb4，以确保表中的数据能够正确存储和显示emoji表情。 如果创建或修改列时没有显式指定字符集和比较规则，则该列将默认使用所属表的字符集和比较规则。同样地，如果创建或修改表时没有显式指定字符集和比较规则，则该表将默认使用所属数据库的字符集和比较规则。如果创建或修改数据库时没有显式指定字符集和比较规则，则该数据库将默认使用服务器的字符集和比较规则。 通过上述设置，能够有效降低乱码风险，并实现在MySQL实例中存储和展示复杂汉字和emoji表情的需求。 综上所述，我们建议在MySQL实例时选择utf8mb4字符集，并确保客户端、会话连接和MySQL实例的字符集配置统一。通过统一使用utf8mb4字符集，我们可以提供更好的用户体验，并避免由于字符集不匹配而导致的乱码问题。 注意 修改字符集和比较规则可能会增加数据存储空间，但不会影响现有数据的质量和兼容性。

编程Token Plan GLM Coding Plan 支持的模型 GLM5（正式版）（ModelID：GLM5Pro） DeepSeekV3.2（旗舰版）（ModelID：DeepSeekV3.2Pro） GLM5、GLM5.1、GLM5Turbo等GLM系列模型 计量方式 按 Token 消耗 按Prompt次数 使用频次 无限制 每5小时/每周限额

基本概念 模板：态势感知（专业版）内置了多种分析规则模板（包括场景说明、模型原理、处置建议、使用约束等信息），用户可利用内置的模板快速创建模型。 模型：模型是基于模板创建的，态势感知（专业版）支持利用模型对管道中的日志数据进行扫描，如果检测到有满足模型中设置触发条件的内容时，系统将产生告警提示。 操作场景 本文介绍模型模板的管理操作。 查看模型模板：态势感知（专业版）根据常用场景内置了多种模型模板（包括场景说明、模型原理、处置建议、使用约束等信息），支持查看模板的详情信息。 新建或编辑模型：态势感知（专业版）支持利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。新建模型可以使用使用已有模型模板创建告警模型，也支持自定义新建告警模型。当模型的信息发生变化需要更新时可编辑模型。 查看模型：可查看模型的严重程度和模型列表信息。模型列表中，可查看当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。 管理模型：介绍如何启用、停用、删除模型。

本节将介绍如何下载报告至本地。 操作场景 态势感知（专业版）创建并生成报告后，可以将报告下载至本地。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 安全报告”，进入安全报告页面。 5. 在安全报告管理页面，单击待下载报告右下角“更多”按钮，在功能下拉菜单中单击“下载”。 6. 弹出报告预览页面，单击预览页面上方的“下载”按钮，并在弹出的对话框中，选择报告格式后，单击“确定”。系统将自动下载对应格式的报告到本地。

告警和攻击的区别 安全告警区分告警和攻击： 告警：告警则是基于态势感知（专业版）的威胁检测模型生成的模型告警，也可以是用户自定义或导入的告警。 攻击：攻击是原始的防线告警。 攻击是原始的防线告警。二者的区别如下： 名称 数据来源 支持的管理操作 告警 态势感知（专业版）威胁检测模型生成的告警。 用户自定义新增的告警。 用户导入的告警。 查看告警信息：可以通过查看告警列表了解近360天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 告警转事件或关联事件：当收到告警信息且经过分析后，如果发现有攻击成功或有其他较为严重影响的，则需要进行单独处理，可以将它转为事件或关联事件。 一键阻断或解封：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断，拦截该恶意IP的访问。 关闭或删除告警：确认告警已处理完成，问题已解决，可选择关闭告警。当确认是无效告警或冗余告警或过期告警，用户可选择删除告警。告警删除后将无法恢复，请谨慎操作。 新增或编辑告警：态势感知（专业版）支持管理云上资产和云外资产，资产管理更多信息请参见资产管理概述。其中，云上资产的告警可以通过接入日志数据自动同步到态势感知（专业版），云外资产的告警数据需要用户在态势感知（专业版）通过[新增告警](

本文将为您介绍状态回调。 您可以指定HTTP URL来接收由SMS推送的短信发送状态报告。然后SmsReport使用HTTP服务接收消息传递报告。 协议说明 参数 说明 :: 协议 HTTP+JSON 编码 UTF8 请求说明 请求内容为JSON Array 字符串格式，单次请求可能会包含多个状态报告结果。 请求样例 json { "data": [ { "phone": "13900000001", "sendTime": "20220801 00:00:00", "reportTime": "20220801 00:00:00", "reportCode": "DELIVRD", "requestId": "mOiogcaBxn6YgaEQ", "sessionId":"123456", } ] } 字段说明 名称 类型 描述 示例值 是否必须 ::::: data Array 状态报告 必须 data.phone String 手机号码 18900000001 必须 data.sendTime String 发送时间 20220501 00:00:00 必须 data.reportTime String 状态报告时间 20220501 00:00:00 必须 data.reportCode String 状态码 DELIVRD 必须 data.requestId String 发送序列号 mOiogcaBxn6YgaEQ 必须 data.sessionId String 发送短信时自定义 123456 非必须 data.index Int 发送短信为长短信时，状态报告分多条返回，标识长短信的序列号 1 非必须 响应说明

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

在Trae IDE（个人版）安装Cline插件 由于在 Trae (个人版) 不支持通过自定义模型的方式接入兼容 OpenAI 协议的 API，所以无法直接在Trae IDE中配置天翼云息壤API，可以通过安装插件Cline来解决，具体安装和使用方式，可以参考Cline插件使用。

本节主要介绍与其它服务的关系。 云原生架构模式下，完成业务功能需要很多服务相互配合： CSE一般和数据库、缓存和消息中间件同时使用，完成业务功能的开发。 AOM、APM、LTS等工具，则为业务提供运维能力，帮助检测业务故障、分析故障原因。 以Spring Cloud为例，典型的云原生架构和技术选型如下： 云原生架构和DevOps通常是密不可分的，配合使用ServiceStage，可以实现云原生环境的管理、部署流水线，简化微服务应用部署到容器CCE的流程。

本节介绍了常见问题:实例相关问题。 实例访问地址不通 确认使用的地址是否正确。内网地址只能在用户的VPC内的主机上访问。外网地址可以从公网访问。 个人实例和企业实例配额问题 个人版容器镜像实例不支持调整命名空间配额和仓库配额，而企业版支持通过扩容或缩容操作修改空间配额和仓库配额。

本文指导您如何使用云间高速及标准版云企业路由器实现跨地域网络互通。 使用场景 为了实现三个VPC（虚拟私有云）之间的通信和资源互访，某企业采取了云间高速组网。首先，企业使用账号A在天翼云华东1创建了VPC1，并在其中部署了应用服务。接着，使用账号B在同样的地域创建了VPC2。另外，还在华北1创建了VPC3，并在其中部署了应用服务。 然而，由于三个VPC之间互不相通，企业需要使用云间高速产品来解决这个问题。具体来说，企业可以将华东1的VPC1和VPC2连接至账号A下华东1的云企业路由器实例（标准版），同时将华北1的VPC3连接至账号A下华北1的云企业路由器实例（标准版）。然后，通过带宽包和跨地域连接实现华东1和华北1的云企业路由器实例互通。 三个VPC即可互相通信，资源也可以互访。不仅简化了网络配置，还提高了系统的可靠性和安全性。同时，也降低了企业的成本和风险。 前提条件 账号A在华东1、华北1各创建了1个VPC，并且使用云主机在两个VPC中部署了应用服务。 步骤一：创建云间高速实例 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速

本节主要介绍弹性文件服务的规格类常见问题 在文件系统中存放的单个文件最大支持多少？ SFS支持存放最大为240TB的单个文件。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB等类型的SFS Turbo文件系统支持存放最大为320TB的单个文件；标准型、标准型增强版、性能型、性能型增强版等类型的SFS Turbo文件系统支持存放最大为16TB的单个文件。 弹性文件服务支持哪些访问协议？ SFS容量型支持标准的NFSv3协议和CIFS协议；SFS Turbo支持标准的NFSv3协议。 每个帐户最多可以创建多少个文件系统？ SFS容量型文件系统支持同时创建多个。当需要创建多于20个SFS容量型文件系统时，可“提交工单”申请扩大配额。 SFS Turbo文件系统单次只能创建一个。当需要创建多于20个SFS Turbo文件系统时，可“提交工单”申请扩大配额。 一个文件系统最多支持同时挂载到多少台云服务器上？ 一个SFS容量型文件系统最多支持同时挂载到10000台云服务器上。 一个SFS Turbo文件系统标准型、标准型增强版、性能型、性能型增强版最多支持同时挂载到500台云服务器上。 一个SFS Turbo文件系统20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB最多支持同时挂载到3000台云服务器上。

本页介绍天翼云TeleDB数据库生命周期政策。 各版本生命周期策略 为了适配不同用户需求和使用场景，该产品共发行如下几个版本。 正式发布版本 （Release）：指经过一系列测试和验证之后最终交付用户使用的版本。 客户定制版本 （Customized）：指根据客户需求的特定功能或场景进行定制的版本。 其它版本 ：包括 内部测试版本 (Alpha)、 公开测试版本 (Beta)、客户验证 版本 （Proof of Concept，POC）和 发行候选版本 （Release Candidate，RC）等。 内部测试版本 (Alpha)：指主要以实现软件功能为主的内部测试版本。 公开测试版本 (Beta)：指比Alpha版本更稳定，但仍需继续完善的公开测试版本。 客户验证版本 （Proof of Concept，POC）：指用户对具体应用的验证性测试的版本。 发行候选版本 （Release Candidate，RC）：指正式发布版本的前一个版本。 本政策仅适用于 正式发布版本（Release） 。客户定制版本生命周期由与客户签订的服务协议来决定。其它版本如内部测试版本、公开测试版本、POC版本和发行候选版本等随版本发布决定。 本政策仅适用于以软件形态销售的天翼云数据库软件，具体请参照 天翼云数据库软件产品协议的许可范围 。 不包括在软件许可范围内的组件。我们根据实际情况提供支持服务，具体内容和费用根据与客户签订的服务协议来决定。

关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本文以“Windows Server 2008 R2 标准版 64位中文版”操作系统为例,分别介绍如何将系统盘和数据盘的扩容部分容量划分至原有分区内与新增分区中。 操作场景 在控制台上扩容成功后，用户需要将扩容部分的容量划分至原有分区内，或者对扩容部分的容量分配新的分区，具体说明如下。 云硬盘 扩容场景 操作示例 系统盘 系统盘扩容至原有分区 已有C盘的情况下，将扩容部分的容量划分至原有分区中，即增加到C盘中。 系统盘 系统盘扩容至新增分区 已有C盘的情况下，为扩容部分的容量分配新的分区，即新创建一块F盘，用作数据盘。 数据盘 数据盘扩容至原有分区 已有E盘的情况下，将扩容部分的容量划分至原有分区中，即增加到E盘中。 数据盘 数据盘扩容至新增分区 已有E盘的情况下，为扩容部分的容量分配新的分区，即新创建一块G盘，用作数据盘。 本文以“Windows Server 2008 R2 标准版64位中文版”操作系统为例，分别介绍如何将系统盘和数据盘的扩容部分容量划分至原有分区与新增分区内。不同操作系统的操作可能不同，本文仅供参考。 注意 扩容时请谨慎操作，误操作可能会导致数据丢失或者异常，建议扩容前对数据进行备份，推荐使用云硬盘备份。

服务类型 证书版本 证书种类 加密标准 下载审核材料模板 SSL证书 标准版 OV 国际标准、国密标准 SSL证书 CFCA OV、EV 国际标准 SSL证书 CFCA OV、EV 国密标准 SSL证书 Globalsign OV、EV 国际标准 私有（内网）证书 标准版 OV 国际标准、国密标准 个人证书 国密标准

本文主要介绍常见问题 如何检查用户机器与PODLB的网络连通性？ 1. 执行ping安装命令中的masteraddress的IP地址，如果有如下返回，则表明网络是连通的。 2. 再执行curl kv安装命令中的masteraddress的IP地址和端口号，如果返回400错误码，表明防火墙也是开通的。 如果存在网络不通，请联系技术支持。 为什么CCE开启java探针后，APM无监控数据？ CCE开启java探针后，APM无监控数据，可能是由于用户使用的java探针版本过低、用户使用Tomcat服务启动的或者用户使用的免费版的APM。 用户在APM界面点击免费开通APM（免费版可以使用10个探针），或者升级到企业版，请用户使用最新版本的java探针，重启容器后APM界面显示正常。