本文为您介绍为Windows Server添加AD、DHCP、DNS、IIS服务的最佳实践。 操作场景 为Windows Server添加AD、DHCP、DNS、IIS服务，具体操作步骤如下。 操作步骤 1. 打开“服务器管理器”, 点击“本地服务器”, 选择对应的“关闭”选项，之后点击“确定”完成配置。 2. 进入“服务器管理器”的页面点击“仪表板”。 3. 单击“添加角色和功能”，为服务器添加新的角色和功能，包括DNS、DHCP、IIS、NET Framework3.5。 4. 在“服务器角色”导航栏中，勾选“Active Directory 域服务”、“DHCP 服务器”、“DNS 服务器”和“Web 服务器(IIS)”。 5. 单击“下一步”。 6. 在“功能”导航栏中，选中“.NET Framework 3.5 功能”。 7. 单击“下一步”。 8. 在“确认”导航栏中，勾选“如果需要，自动重新启动目标服务器”。 9. 单击“安装”，开始安装。 10. 安装完成后，单击“将此服务器升级为域控制器”，开始配置AD服务。 11. 因为没有已经存在的域环境，选择“添加一个新forest”，创建一个新的forest并设置根域名。如“根域名”可以设置为“sp160.com.cn”。 12. 单击“下一步”。 13. 设置密码，该密码用于备份还原域控。 14. 单击“下一步”，直至安装完成。 15. 单击“实现 DHCP 配置”，开始配置DHCP功能。 16. 单击“下一步”，选择默认配置。 17. 单击“确认”。 18. 配置完成，单击“关闭”。

UDAL SHOW FRONTENDCONNECTIONLIMIT [ WHERE USER 'user' AND GROUP 'group'] 语法说明 显示用户组的前端连接限制 示例 plaintext mysql> UDAL SHOW FRONTENDCONNECTIONLIMIT WHERE USER 'udaladmin' AND GROUP '默认分组'; Empty set (0.00 sec) UDAL SHOW SESSION 语法说明 查看绑定事务的前后端连接信息，返回信息说明如下： 参数 描述 Processor 处理线程号 Connectionid 前端连接在DBProxy中的ID Frontendclienthost 前端连接对应的客户端主机地址 Frontendclientport 前端连接对应的客户端端口号 Frontendschema 前端连接使用中的数据库schema Frontendactivetime(Seconds) 前端连接持续时间 Frontendqueuedmessages 前端连接等待写出的数据包数量 Frontendreceivebuffer(Bytes) 前端连接接收数据的缓冲区大小 Charset DBProxy数据库字符集 Transactionlevel 事务级别 Autocommit 是否自动提交 Originsql 用户提交的SQL Backendhost 后端连接主机地址 Backendport 后端连接端口 Backenddatabase 后端连接物理数据库schema Backendactivetime(Seconds) 后端连接连接持续时间 Backendqueuedmessages 后端连接等待写出的数据包数量 Backendclosed 后端连接是否已关闭 Backendborrowed 后端连接是否使用中 示例 plaintext mysql> UDAL SHOW SESSION; Empty set (0.00 sec) UDAL SHOW HEARTBEAT 语法说明 查看主机的后端数据库的心跳状态，返回信息说明如下： 参数 描述 Datahost 物理数据库名称 Type 数据库类型 Host 主机地址 Port 端口号 Result 心跳测试返回结果，可能值： OK ERROR TIMEOUT INIT Retry 当前重试失败次数 Status 心跳检测任务状态(CHECKING/IDLE) Timeout(Milliseconds) 超时时间 Cost(Milliseconds) 最近3个时段的平均响应时间，默认为1分钟、10分钟或30分钟 Lasttry 上次使用时间 Stopped 是否已停止心跳检测 示例 plaintext mysql> UDAL SHOW HEARTBEAT; ++++++++++++ Datahost Datasource Type Host Port Result Retry Status Timeout (Milliseconds) Cost (Milliseconds) Lasttry Stopped ++++++++++++ mysql85ggztest5473 masternode mysql 192.168.0.97 13049 OK 0 IDLE 30000 0,1,0 20250429 23:30:48 false ++++++++++++ 1 row in set (0.00 sec)

规格名称 版本 服务内容 交付物 收费方式 标准价格 等保咨询等保二级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 20000元/次 等保咨询等保二级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 20000元/次 等保咨询等保二级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 《等保测评技术指导》 按次计费 120000元/次 等保咨询等保二级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 《差距分析评估》 按次计费 120000元/次 等保咨询等保二级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 120000元/次 等保咨询等保三级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 30000元/次 等保咨询等保三级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 30000元/次 等保咨询等保三级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 180000元/次 等保咨询等保三级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 180000元/次 等保咨询等保三级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 180000元/次 扩展包 超过20台云主机或者所处行业监管要求特殊的客户，请选择扩展包，具体需要增加多少请与天翼云安全专家沟通后确定 按次计费 5000元/个

在gsql客户端配置SSL认证相关的数字证书参数 DWS 在集群部署完成后，默认已开启SSL认证模式。服务器端证书，私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。 1. 登录DWS 管理控制台，在左侧导航栏中，进入“连接管理”页面。 2. 在“下载驱动程序”区域，单击“下载SSL证书”进行下载。 3. 使用文件传输工具（例如WinSCP工具）将SSL证书上传到客户端主机。 例如，将下载的证书“dwssslcert.zip”存放到“/home/dbadmin/dwsssl/”目录下。 4. 使用SSH远程连接工具（例如PuTTY）登录gsql客户端主机，然后执行以下命令进入SSL证书的存放目录，并解压SSL证书： cd /home/dbadmin/dwsssl/ unzip dwssslcert.zip 5. 在gsql客户端主机上，执行export命令，配置SSL认证相关的数字证书参数。 SSL认证有两种认证方式：双向认证和单向认证，认证方式不同用户所需配置的客户端环境变量也不同，详细介绍请参见下方“SSL认证方式及客户端参数介绍”章节。 双向认证需配置如下参数： export PGSSLCERT" /home/dbadmin/dwsssl/sslcert/client.crt " export PGSSLKEY" /home/dbadmin/dwsssl/sslcert/client.key " export PGSSLMODE" verifyca " export PGSSLROOTCERT" /home/dbadmin/dwsssl/sslcert/cacert.pem " 单向认证需要配置如下参数： export PGSSLMODE"verifyca" export PGSSLROOTCERT" /home/dbadmin/dwsssl/sslcert/cacert.pem " 须知： 从安全性考虑，建议使用双向认证方式。 配置客户端环境变量，必须包含文件的绝对路径。 6. 修改客户端密钥的权限。 客户端根证书，密钥，证书以及密钥密码加密文件的权限，需保证权限为600。如果权限不满足要求，则客户端无法以SSL连接到集群。 chmod 600 client.key chmod 600 client.crt chmod 600 client.key.cipher chmod 600 client.key.rand chmod 600 cacert.pem

失败原因 处理建议 勾选增量迁移时，源库非主机。 选择集群中的主库作为数据源再进行同步任务。

本节主要介绍设置应用生命周期 部署应用组件时，在“基本配置”界面，“部署系统”选择“云容器引擎”的应用组件，ServiceStage提供了回调函数，在应用的生命周期的特定阶段执行调用，比如应用组件在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示。 启动命令：容器将会以该启动命令启动。 启动后处理：应用启动后触发。 停止前处理：应用停止前触发。 操作步骤 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、单击“启动命令”，设置容器“运行命令”和“运行参数”。 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置“生命周期”命令和参数，应用运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为“Entrypoint”和 "CMD"。关于这两个参数的详细信息，请查看Docker的Entrypoint说明和CMD说明。 如果在部署应用组件时填写了应用的“运行命令”和“运行参数”，将会覆盖镜像构建时的默认命令 "Entrypoint"、"CMD"，规则如表1所示。 3、单击“生命周期”，设置“启动后处理”和“停止前处理”参数，参数说明如表2所示。 表 启动命令参数说明 镜像Entrypoint 镜像CMD 应用运行命令 应用运行参数 最终执行 ::::: [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 表 生命周期参数说明 参数 说明 :: 命令行方式 在组件实例中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下需找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 需要执行的命令示例如下： exec: command: /install.sh installagent 请在执行脚本中填写： /install.sh installagent。 这条命令表示组件部署成功后将执行installagent安装。 Http请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是应用所在的节点IP。

安装ICAgent完成后显示离线，可能原因是输入的AK/SK错误导致该主机的ICAgent功能异常。请获取正确的AK/SK后重新安装，详细操作请参考如何获取AK/SK？

SOURCEIP 根据收到请求的客户端源IP地址信息，ELB将相同源IP地址的流量分发到相同的后端服务器上。 使用说明 当后端主机返回的请求状态码为4xx或5xx时，弹性负载均衡不会进行植入或重写cookie。 前提条件 您已在所在可用区创建VPC，并创建业务主机，完成服务配置。 您已创建负载均衡实例。 操作步骤 1. 登录天翼云控制中心，选择资源节点；本文我们选择的是华东华东1。 2. 在控制中心页面，依次选择“网络 > 弹性负载均衡”。 3. 在负载均衡页面，点击“ELB实例名称”，进入详情页面。 4. 在监听器页签，点击“添加监听器”按钮，创建监听器。 5. 在监听器创建页面填写监听器名称，设置负载均衡器协议/端口等参数信息，完成后点击“下一步”。 6. 创建后端主机组，选择后端云主机，添加到后端主机组，添加完成点击“下一步”。 7. 在“负载均衡&健康检查”配置页面，找到“会话保持方式”，点击下拉框便可以选择不同的会话保持类型。在实际业务中，您可以根据具体情况进行会话方式的选择，最后完成负载方式、健康检查等其它配置。 8. 点击“立即创建”完成配置并创建监听器。

本节介绍了设置资源配额与限制的用户指南。 资源配额与限制是对用户资源使用量的管控机制，主要用于实现资源的合理分配管理、成本的有效控制以及系统整体稳定性的保障。通过配额管理，云容器引擎能够对容器的计算、存储等资源进行统一的配额管控，确保不同项目或团队间的资源公平分配，防止因误操作或恶意行为导致的资源过度消耗，同时避免单用户过度占用资源而影响平台性能。您可为命名空间配置包括CPU、内存、Pod数量等资源的额度，更多信息请参见资源配额。 操作步骤 1. 登录云容器引擎控制台，单击集群名称进入集群。 2. 在左侧导航栏中选择“命名空间”。 3. 单击对应命名空间后的“更多”，下拉点击"设置资源配额"。 4. 在弹出的弹窗中设置资源配额与资源限制，然后单击“确定”。 参数说明 资源配额 资源类型 说明 CPU申请(requests.cpu) 所有非终止状态的 Pod，其 CPU 申请总量不能超过该值 CPU限制(limits.cpu) 所有非终止状态的 Pod，其 CPU 限制总量不能超过该值 内存申请(requests.memory) 所有非终止状态的 Pod，其内存申请总量不能超过该值 内存限制(limits.memory) 所有非终止状态的 Pod，其内存限制总量不能超过该值 存储空间(requests.storage) 所有持久卷声明的申请总量不能超过该值 持久卷声明数量(persistentvolumeclaims) 在该命名空间中允许存在的 PVC 的总数上限 配置项数量(configmaps) 在该命名空间中允许存在的 ConfigMap 总数上限 容器组数量(pods) 在该命名空间中允许存在的非终止状态的 Pod 总数上限 服务数量(services) 在该命名空间中允许存在的 Service 总数上限 负载均衡型服务数量(services.loadbalancers) 在该命名空间中允许存在的 LoadBalancer 类型的 Service 总数上限 主机端口型服务数量(services.nodeports) 在该命名空间中允许存在的 NodePort 或 LoadBalancer 类型的 Service 的 NodePort 总数上限 保密字段数量(secrets) 在该命名空间中允许存在的 Secret 总数上限 RC数量(replicationcontrollers) 在该命名空间中允许存在的 ReplicationController 总数上限 资源配额数量(resourcequotas) 在该命名空间中允许存在的 ResourceQuota 总数上限 Deployment数量(deployments.apps) 在该命名空间中允许存在的无状态负载(Deployment)的总数上限 Daemenset数量(daemonsets.apps) 在该命名空间中允许存在的守护进程(Daemonset)的总数上限 Statefulset数量(daemonsets.apps) 在该命名空间中允许存在的有状态负载(Statefulset)的总数上限 Job数量(jobs.batch) 在该命名空间中允许存在的任务(Job)的总数上限 Cronjob数量(cronjobs.batch) 在该命名空间中允许存在的定时任务(Cronjob)的总数上限

参数 是否必选 说明 Shell或脚本 是 可以选择Shell语句或Shell脚本。 Shell语句 单击“Shell语句”参数下的文本框，在“Shell语句”页面输入需要执行的Shell语句。 Shell脚本 在“脚本路径”参数后选择需要执行的脚本。如果脚本未创建，请参考新建脚本和开发Shell脚本先创建和开发脚本。 说明 若选择Shell语句方式，数据开发模块将无法解析您输入Shell语句中携带的参数。 主机连接 是 选择执行Shell脚本的主机。 参数 否 填写执行Shell脚本时，向脚本传递的参数，参数之间使用空格分隔，例如：a b c。此处的“参数”需要在Shell脚本中引用，否则配置无效。 交互式输入 否 填写交互式参数，即执行Shell脚本的过程中，需要用户输入的交互式信息（例如密码）。交互式参数之间以回车符分隔，Shell脚本根据交互情况按顺序读取参数值。 节点名称 是 节点名称，只能包含英文字母、数字、中文字符、中划线、下划线、/、<>和点号，且长度小于等于128个字符。

本文为您介绍卸载cuDNN加速库的操作方法。 cuDNN无独立卸载程序，需通过删除复制到CUDA目录的专属文件完成卸载，卸载前需先关闭所有依赖cuDNN的程序，且建议在卸载CUDA 工具包前执行本操作，避免文件残留或占用。 前置说明 关闭所有使用cuDNN的程序。 在Linux操作系统中卸载cuDNN 如果您在创建GPU云主机时自动安装了cuDNN加速库，使用的是复制头文件与库文件到CUDA目录完成部署，无独立卸载程序，因此只需精准删除cuDNN相关文件即可完成卸载。本章节以默认CUDA路径/usr/local/cuda为例。 1. 先查询cuDNN文件 plaintext ls l /usr/local/cuda/include/cudnn.h /usr/local/cuda/lib64/libcudnn.so 2>/dev/null 2. 删除cuDNN核心文件 plaintext sudo rm rf /usr/local/cuda/include/cudnn.h /usr/local/cuda/lib64/libcudnn.so 3. 刷新系统库缓存 plaintext sudo ldconfig 4. 验证卸载成功 plaintext ls /usr/local/cuda/include/cudnn.h /usr/local/cuda/lib64/libcudnn.so 2>/dev/null echo "cuDNN has been completely uninstalled" 出现“cuDNN has been completely uninstalled”表明已经卸载完成。 在Windows操作系统中卸载cuDNN 本章适用于通过zip包安装的cuDNN加速库的卸载操作。卸载逻辑的核心是精准删除这些复制到CUDA中的cuDNN专属文件，不影响CUDA本身，以Windows Server 2016 x8664系统、CUDA 11.4.0版本、cuDNN8.8.1版本为例进行cuDNN加速库的卸载。 以管理员身份打开CMD并按以下步骤操作。 1. 确认CUDA路径。 plaintext echo %CUDAPATH% 2. 查询并删除CUDA的bin、include、libx64目录中的cudnn开头的文件。 查询命令如下 plaintext dir /s /b "%CUDAPATH%bincudnn.dll"&dir /s /b "%CUDAPATH%includecudnn.h"&dir /s /b "%CUDAPATH%libx64cudnn.lib" 确认查询结果无误后请执行以下命令删除cuDNN文件。 plaintext del /f /s /q "%CUDAPATH%bincudnn.dll" & del /f /s /q "%CUDAPATH%includecudnn.h" & del /f /s /q "%CUDAPATH%libx64cudnn.lib" 3. 验证卸载成功。 再次查询CUDA路径下的cuDNN头文件，执行后无任何文件路径输出表明卸载完成。 plaintext dir /s /b "%CUDAPATH%bincudnn.dll" & dir /s /b "%CUDAPATH%includecudnn.h" & dir /s /b "%CUDAPATH%libx64cudnn.lib"

DDoS基础防护 DDoS基础防护功能介绍 DDoS基础防护产品依托天翼云资源池网络，在公网IP遭受DDoS攻击时免费提供一定DDoS防护阈值，在阈值内尽可能确保IP可用。当IP遭受的DDoS攻击峰值超过IP的DDoS防护阈值时，会对IP所在服务器和网络的稳定性造成影响，根据用户协议，IP会进入封禁状态。 DDoS基础防护封禁阈值计算方式 DDoS基础防护依托天翼云资源池网络，为公网IP免费提供一定DDoS防护阈值，该阈值与公网IP带宽规格、公网IP绑定资产类型和公网IP所在资源池相关。 IP带宽越大，分配的网络资源就会越多，能对抗的DDoS攻击峰值越高，DDoS防护阈值越大。 IP绑定的资产类型属于负载型的资产时，如ELB、WAF等，相较于IP绑定到ECS云主机资产或未绑定资产，负载型资产本身分配的网络资源较多，能对抗的DDoS攻击峰值更高，DDoS防护阈值更大。 资源池内所有EIP遭受的DDoS攻击最终都会对资源池网络造成影响，为防止资源池网络整体产生波动，资源池会设定一个DDoS防护阈值作为资源池防护的底线。该阈值被同一时间所有受攻击的IP均分，例如当多个IP同时被攻击时，受攻击的多个IP会均分该阈值。 公网IP的DDoS防护阈值为IP带宽DDoS防护阈值，IP资产类型DDoS防护阈值，IP资源池DDoS防护阈值中取最小值，因任意类型的阈值超限均会对IP所在资源池、服务器或网络产生稳定性影响，具体计算公式如下。计算结果为理论底线数值，当IP所在服务器和资源池网络畅通时，DDoS基础防护会尽可能为IP提供更高的DDoS防护阈值。 公网IP的DDoS防护阈值 MIN（IP带宽DDoS防护阈值，IP资产类型DDoS防护阈值，资源池DDoS防护阈值/同一时间遭受DDoS攻击的IP数量）。 其中IP带宽防护阈值具体计算方式如下表。 IP带宽范围 IP带宽DDoS防护阈值 IP带宽≤200Mbps 2Gbps 200Mbps＜IP带宽≤500Mbps 5Gbps 500Mbps＜IP带宽 8Gbps 其中IP资产类型防护阈值具体计算方式如下表。 IP绑定资产类型 IP资产类型DDoS防护阈值 ELB、NAT、VPN 8Gbps vcpu（核数）≥4规格VM 5Gbps vcpu（核数）2规格VM 2Gbps vcpu（核数）1规格VM 1Gbps 其中IP资源池防护阈值具体计算方式如下表。 资源池 IP资源池DDoS防护阈值 默认 15Gbps/同一时间遭受DDoS攻击的IP数量

参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 主机id 700c065cbbd35b8aa07d551dba4a5141 eipId 是 String eip id eipdba4a5141

本节介绍了定时任务的用户指南。 基本概念 定时任务：即kubernetes中的“CronJob”，定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即：在给定时间点只运行一次。在给定时间点周期性地运行。 CronJob的典型用法如下所示：在给定的时间点调度Job运行。创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 在创建定时任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 创建CronJob与创建Deployment的过程类似，但存在以下的差异，需要注意： 定时任务的执行策略 执行策略：选择CronJob的执行周期，即每隔这个时间周期CronJob就会执行一次 并发策略：CronJob是周期性执行的，那么可能存在一种情形是上一周期中任务还没有执行完，但是已经到了下一个时间周期，并发策略用于设置这种情形下的CronJob怎么执行： 允许：让这两个周期的任务同时存在，并发执行 禁止：下一个时间周期的任务不执行 替换：停止行一个周期的任务，开始执行下一个时间周期的任务 Job参数 用于设置定时任务中任务的参数：

参数 是否必填 参数类型 说明 示例 下级对象 targetGroupID 是 String 后端服务组ID weight 否 Integer 后端主机权重，取值范围：1256。默认为100 100

本节主要介绍RDA相关术语解释 产品基本概念 凭证 资源的认证方式，如AK/SK或用户名/密码。 项目 用于从一个项目的维度对项目涉及的资源进行管理。 SMS 主机迁移服务。 OMS 对象存储迁移服务 。

参数 参数类型 说明 示例 下级对象 id String 告警id testid agentGuid String 主机id testagentguid vmName String 主机名称 testhostname displayName String 实例名称 testdisplayname alarmGrade String 等级 高危 低危 中危 alarmName String 告警名称 文件异常删除 publicIp String 公网ip 192.168.1.1 privateIp String 私网ip 192.168.1.1 filePath String 文件路径 /test alarmTime String 告警时间 20200101 00:00:00 alarmStatus String 防御状态 已防御 已防御 alarmGradeCode String 等级 1低危 2中危 3高危 高危 alarmNameCode String 告警名称 delete文件异常删除 add文件异常添加 modify文件异常修改 delete alarmStatusCode String 防御状态 1已防御 1 alarmTimeGmtStr String 告警时间 20200101 00:00:00 alarmTimeGmtDate String 告警时间 20200101 00:00:00

本小节介绍产品优势与特性产品优势与特性。 产品优势 依托云网资源优势，结合三网线路，打造“运营商级自主专利”的高防平台，电信防护无上限，四层七层全覆盖，并叠加DNS、国际加速、等保密评等竞品，支持IaaS+SaaS多元交付，可融合可定制，为各行业客户网络安全保驾护航。 针对DDoS高防的部署环境的灵活性：DDoS高防的使用无需客户业务支撑主机为天翼云，任何厂商的主机均可以使用天翼云DDoS高防IP产品，客户只要有公网域名或公网IP地址均可以使用。 功能特性 全网防护：三网覆盖、DDoS防护、流量牵引、分析溯源 专属定制：Flowspec定制、API专属、IDC定制、OTN专属 功能扩展：DNS防护、国际加速、等保密评、其他扩展 运维巡检：集约监控、智慧巡检、自助门户、威胁情报

参数 参数类型 说明 示例 下级对象 ipProtectCount Integer 已防护公网IP数 1 ipUnProtectCount Integer 可防护公网IP数 1 firewallState String 防火墙状态 normal正常 overdue已到期 unsubscribe已退订 vpcFirewallName String 东西向实例id vpcFirewallType String 实例类型NorthSouth：VPC边界防火墙 canUnsubscribe Boolean 能否退订 VpcQuotaUsedCount Integer vpc已防护 ewFirewallId String 东西向防火墙id firewallEdition String 防火墙版本 firewallId String 防火墙id firewallName String 防火墙名称 uid String 账户id userId String 用户id regionId String 资源池id azId String 可用区id masterOrderId String 主订单ID masterResourceId String 主资源ID orderId String 订单ID state Boolean 防火墙状态 true正常 false退订 flowProcessingCapacity Integer 公网流量处理能力(单位Mbps) 100 protectionIpNum Integer 可防护公网IP数 1 orderTime Long 订购时间 expireTime Long 到期时间 isDelete Boolean 是否软删除 email String email firewallType String 防火墙类型 NorthSouth 南北向 EastWest东西向 vpcFlowProcessingCapacity Integer vpc流量处理能力(单位Mbps) 100 vpcQuota Integer 可防护VPC配额 1 hostIds String 主机ids gwlbId String gwlbId targetGroupId String 主机组id ipListenerId String gwlb和主机对应 100 endpointServiceId String 网关负载均衡终端节点服务id 1

本章节介绍缓存容灾策略。 DCS缓存实例都存储着大量关键数据，不论是作为数据库前端缓存，还是作为数据存储引擎，数据的可靠性与服务的连续可用性是DCS服务设计上为客户考虑的核心因素，下图展示了DCS在数据和服务方面的容灾架构设计演进。 DCS灾备架构演进 根据对数据与服务的不同可靠性要求，您可以选择将缓存实例部署在单可用区内（单机房），或者跨可用区（同城灾备）。 实例单可用区高可用 同一机房即单可用区。单可用区灾备策略主要包括进程/服务高可用，数据持久化到磁盘，以及实例节点间热备三种不同层次。 在单可用区内，单机实例通过进程守护的方式确保服务高可用，当DCS监测到缓存实例进程故障，马上拉起一个新的进程继续提供服务。 单可用区内单机实例高可用 主备实例配置了数据持久化，数据持久化到主节点磁盘外，还会增量同步到备节点，同时备节点也会持久化一份数据。因此，主备实例实现了节点热备和持久化文件多个备份。 单可用区内主备实例高可用 集群版实例类似主备实例，每个条带（实例进程）有持久化文件，也都有对应的副本（备进程及其持久化文件。） 单可用区内集群版实例高可用

。 分区4，LVM的物理卷。此分区用于LVM的物理卷。LVM不是必须使用的。如果不使用LVM分区，可不设置pv: true的分区。此时也不需要lvm:下的各项配置。普通分区不像LVM逻辑卷，分区后难以改变，应提前规划好。 下面说明各个LVM逻辑卷。如果需要修改样例中的逻辑卷，请先阅读这部分。 使用LVM逻辑卷方便在系统安装后再自行扩展分区大小。关于LVM的一般知识，包括调整LVM逻辑卷大小等，参考LVM。对已有重要数据的分区，需谨慎操作。应先备份数据，再考虑扩缩容LVM逻辑卷。 其他系统分区可考虑使用LVM逻辑卷，而不是普通分区。如何设置分区和具体应用有关，一般的信息和建议可参考分区方案。如不确定如何分区，保守的选择是使用各发行版默认的自动分区方案。 服务器大都内存充足，可考虑不设置swap逻辑卷。服务器内存通常比较大，也很少使用休眠功能，不必参考家用计算机通常给出的内存空间的1倍~2倍的建议。参考Swap。 3. Windows镜像分区文件编写 3.1 生成md5文件 使用下面命令可生成镜像对应的md5文件 plaintext md5sum 镜像名.qcow2> 镜像名.qcow2.md5

本文主要介绍元数据锁MDL导致无法操作数据库的解决方法以及如何避免元数据锁阻塞。 MetaData Lock主要为了保证元数据的一致性，用于处理不同线程操作同一数据对象的同步与互斥问题。MySQL 5.5版本开始，引入了MDL锁，MDL锁是表级别的锁，有些类型的MDL锁会导致读写操作都无法进行，导致SQL的阻塞。 操作步骤 1. 连接MySQL实例。具体操作请参见实例连接方式介绍，通过内网和公网连接实例。 2. 在SQL窗口执行如下SQL查看数据库所有线程状态。 show full processlist 3. 查看State列是否出现大量Waiting for table metadata lock，即表示出现阻塞，在对应的Info列可以查看到对应表的操作，找到正在对该表进行操作的会话Id。 4. 在SQL窗口执行如下命令解锁MDL锁。 kill id 如何避免元数据锁阻塞 MDL 锁一旦发生会对业务造成极大影响，因为后续所有对该表的访问都会被阻塞，造成连接积压。所以日常要尽量避免 MDL 锁阻塞的发生，下面给出几点优化建议可供参考： 开启 metadatalocks 表记录 MDL 锁。 设置参数 lockwaittimeout 为较小值，使被阻塞端主动停止。 规范使用事务，及时提交事务，避免使用大事务。 DDL 操作及备份操作放在业务低峰期执行。

本小节主要介绍升级RDSPostgreSQL实例内核小版本。 操作场景 RDSPostgreSQL支持将您的数据库实例内核小版本升级，您可以使用该功能来升级数据库实例小版本来支持更多的功能扩展、以及优化性能或修复遗留问题等。 注意事项 内核小版本升级时，会涉及到重启您的数据库实例，数据库服务会在一段时间内出现业务中断，因此请您尽量在业务低峰期执行该操作。 升级小版本前建议做全量备份以保证数据安全性。 在升级小版本期间，请您不要进行其他操作，避免出现异常问题。 升级方式中，滚动升级方式相较停机升级中断时间较短。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，请选择指定的实例后，在"实例列表"右侧的"操作"列中，点击"更多"下拉选项并选择"小版本升级"。 6. 弹出框会有"请选择版本"选项，点击下拉框。如有可升级的版本，则选择需要升级的小版本后，选择升级方式，点击确定。 7. 系统将会立即升级您的数据库内核版本至您选择的内核小版本。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本页面主要介绍只读转单机的使用场景和操作步骤。 注意 仅西南1、华北2等II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 操作场景 关系数据库MySQL版支持数据库只读实例转为单机实例。只读实例将与主实例断开数据复制关系，成为独立的单机实例。只读转单机实例的操作对主实例业务没有影响。 当主实例故障不可用时，可以通过只读转单机升主，快速获得一个可读可写的单机实例。 使用限制 仅运行中的实例可以转为单机实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择实例列表中处于运行中 状态的只读实例，单击只读实例右侧更多 ，选择转单机。 4. 进入受理页，选择备份空间类型和容量，以及是否要将vpc的网段加入到白名单，选择后单击提交。 5. 付费完成后，几分钟后该只读实例将成为单机实例，且处于运行中状态。 注意 只读转为单机实例后，如遇到无法访问单机实例的场景，请将客户端的IP地址添加进白名单以正常访问。

本节主要介绍OOS数据迁移工具的一些常见问题。 怎么查看迁移进度？ 可以在statistics.txt中查看迁移进度。例如 已加载备份object数:0 已扫描object数/已扫描object量:31/32.26(MB) 已完成object数/已完成object量:31/32.26(MB) 成功object数/成功object量:29/32.16(MB) 失败object数/失败object量:2/100.01(KB) 跳过object数/跳过object量:0/0.00(B) 其他object数/其他object量:0/0.00(B) 总体速度：扫描速度/已完成速度/成功速度:275(KB/s)/275(KB/s)/274(KB/s) 分钟速度：扫描速度/已完成速度/成功速度:75(KB/s)/75(KB/s)/74(KB/s) 成功数占完成比/成功量占完成比/单位成功量:80%/80%/5M 失败数占完成比/失败量占完成比/单位失败量:20%/20%/1M 待迁移队列长度/正在迁移队列长度:0/0 启动时间/完成时间:20200720 09:15:13/20200720 09:16:55 扫描状态:已停止 加速模式:已生效 并发数(每个客户端):100 客户端数量:0 客户端编号: 此工具支持OOS同一个Bucket内文件（Object）的迁移吗？ 如果在migrate.conf中增加参数destPrefix，可以使用此迁移工具实现OOS同一个Bucket内文件（Object）的迁移。

本文主要介绍删除实例。 操作场景 分布式消息服务Kafka管理控制台支持删除Kafka实例，且可实现批量删除Kafka实例、一键式删除创建失败的Kafka实例、单个删除创建失败的实例记录。 说明 Kafka实例删除后，实例中原有的数据将被删除，且没有备份，请谨慎操作。 前提条件 Kafka实例状态为运行中、故障、已冻结的按需付费实例才能执行删除操作。 包年/包月类型的Kafka实例，不支持进行删除和批量删除操作。若不再使用，可单击“操作”栏下的“更多 > 退订”进行退订。 删除Kafka实例 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，删除Kafka实例。 勾选Kafka实例名称左侧的方框，可选一个或多个，单击信息栏左上侧的“更多 > 删除”。 在待删除Kafka实例所在行，单击“更多 > 删除”。 单击Kafka实例名称，进入实例详情页面。单击右上角的“更多 > 删除”。 说明 Kafka实例状态为创建中、启动中、变更中、变更失败、重启中时不允许执行删除操作。 步骤 5 在“删除实例”对话框中，单击“是”，完成删除Kafka实例。 删除Kafka实例大约需要1到60秒。

本章节主要介绍如何删除分布式消息服务RabbitMQ的实例。 操作场景 分布式消息服务RabbitMQ管理控制台支持删除RabbitMQ实例，且可实现批量删除RabbitMQ实例、一键式删除创建失败的RabbitMQ实例。 说明 RabbitMQ实例删除后，实例中原有的数据将被删除，且没有备份，请谨慎操作。 前提条件 RabbitMQ实例状态为运行中、故障、已冻结的按需付费实例才能执行删除操作。 包年/包月类型的RabbitMQ实例，不支持进行删除和批量删除操作。若不再使用，可单击“操作”栏下的“更多 > 退订”进行退订。 删除RabbitMQ实例 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 通过以下任意一种方法，删除RabbitMQ实例。 勾选RabbitMQ实例名称左侧的方框，可选一个或多个，单击信息栏左上侧的“删除”。 在待删除RabbitMQ实例所在行，单击“更多 > 删除”。 单击RabbitMQ实例名称，进入实例详情页面。单击右上角的“更多 > 删除”。 说明 RabbitMQ实例状态为创建中、启动中、变更中、变更失败、重启中时不允许执行删除操作。 步骤 5 单击“是”，完成删除RabbitMQ实例。 删除RabbitMQ实例大约需要1到60秒。

使用Kafka客户端（MRS 3.x及之后版本） 1. 进入ZooKeeper实例页面： 登录FusionInsight Manager，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本）。然后选择“集群 > 待操作的集群名称 > 服务 > ZooKeeper > 实例”。 2. 查看ZooKeeper角色实例的IP地址。 记录ZooKeeper角色实例其中任意一个的IP地址即可。 3. 登录安装客户端的节点。 4. 执行以下命令，切换到客户端目录，例如“/opt/hadoopclient/Kafka/kafka/bin”。 cd /opt/hadoopclient/Kafka/kafka/bin 5. 执行以下命令，配置环境变量。 source /opt/hadoopclient/bigdataenv 6. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit Kafka用户 7. 登录FusionInsight Manager，选择“集群 > 待操作的集群名称 > 服务 >ZooKeeper > 配置 > 全部配置”，搜索参数“clientPort”,记录“clientPort”的参数值。 8. 创建一个Topic： sh kafkatopics.sh create topic 主题名称 partitions主题占用的分区数 replicationfactor主题的备份个数 zookeeper ZooKeeper角色实例所在节点IP 地址 : clientPort /kafka 例如：sh kafkatopics.sh create topic TopicTestpartitions 3replicationfactor 3 zookeeper 10.10.10.100:2181/kafka 9. 执行以下命令，查询集群中的Topic信息： sh kafkatopics.sh list zookeeper ZooKeeper角色实例所在节点IP 地址:clientPort /kafka 例如：sh kafkatopics.sh list zookeeper 10.10.10.100:2181/kafka 10. 删除步骤8中创建的Topic： sh kafkatopics.sh delete topic主题名称 zookeeper ZooKeeper角色实例所在节点IP 地址 : clientPort /kafka 例如：sh kafkatopics.sh delete topic TopicTest zookeeper 10.10.10.100:2181/kafka

本节介绍了升级内核小版本的相关内容。 操作场景 RDS for PostgreSQL支持手动升级内核小版本，内核小版本的升级涉及性能提升、新功能或问题修复等。 注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时手动立即升级小版本。 升级数据库内核小版本会重启RDS for PostgreSQL实例，服务会出现一定时间的业务中断，中断时长和业务量相关，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 升级小版本前建议先做一次全量备份。 小版本升级之前，若磁盘空间不足，请提前进行磁盘扩容。如果升级期间触发自动扩容，则两者都会失败。 容灾实例在小版本升级后，灾备实例需要重建。 RDS for PostgreSQL 12.6之前的小版本（不包含12.6版本）进行升级前，需要停止所有的逻辑复制，并删除所有的逻辑复制槽，否则小版本升级会失败。 − 查询复制槽：select from pgreplicationslots; − 删除复制槽：select pgdropreplicationslot('SLOTNAME');

比较项 Redis 3.0 Redis 4.0 & Redis 5.0 Redis 6.0 兼容开源版本 Redis 3.0兼容开源3.0.7版本 Redis 4.0兼容开源4.0.14版本Redis 5.0最新版本兼容开源5.0.14版本。存量用户可以参考 查询Redis原生版本 进行查询。 Redis 6.0兼容开源6.2.7版本 实例部署模式 采用虚机部署 在物理机上容器化部署 在物理机上容器化部署 CPU架构 支持x86和Arm 支持x86和Arm 支持x86 创建实例耗时 315分钟，集群约1030分钟 约8秒 约8秒 QPS 单节点约10万QPS 单节点约10万QPS 单节点约15万QPS 可视化数据管理 不支持 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 实例类型 支持单机、主备、Proxy集群 支持单机、主备、Proxy集群、Cluster集群、读写分离 支持单机、主备 实例规格 提供2G、4G、8G直至1024G多种规格 提供2G、4G、8G直至1024G多种规格，同时单机主备还支持128MB、256MB、512MB、1GB四种小规格实例 提供4G、8G、16G、32G、64G多种规格，同时单机主备还支持128MB、256MB、512MB、1GB四种小规格实例 扩容/缩容 支持在线扩容和缩容 支持在线扩容和缩容 支持在线扩容和缩容 备份恢复 主备和集群实例支持 主备、读写分离、集群实例支持 主备

场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见： 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见： 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。