请求示例 请求url /v4/monitor/createcustomitem 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "name": "我的CPU使用率", "unit": "%", "interval": 60, "dimensions": [ { "name": "uuid", "description": "主机的唯一标识" }, { "name": "usage", "description": "主机用途" } ] } 响应示例 json { "statusCode":800, "returnObj":{ "customItemID":"ITEM793d5923652be6ce202306291409" }, "errorCode":"", "message":"Success", "msgDesc":"成功" } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 Monitor.CustomItem.NameAlreadyExist 监控项名称已存在，不能重复 其他 参见公共错误码说明

云监控服务相关概念 使用云监控服务之前，请先了解一下相关概念，从而可以更好的使用云监控服务。 监控指标 监控指标是云监控服务的核心概念，通常是指云平台上某个资源的某个维度状态的量化值，如云主机的CPU使用率、内存使用率等。监控指标是与时间有关的变量值，会随着时间的变化产生一系列监控数据，帮助用户了解特定时间内该监控指标的变化。 聚合 聚合是云监控服务在特定周期内对各服务上报的原始采样数据采取平均值、最大值、最小值、求和值、方差值计算的过程。这个计算的周期又叫做聚合周期，目前云监控服务支持5分钟、20分钟、1小时、4小时、24小时共五种聚合周期。 监控面板 监控面板为用户提供自定义查看监控数据的功能，支持在一个监控面板跨服务、跨维度查看监控数据，将您关注的重点服务监控指标集中呈现，既能满足总览服务运行概况，又能满足排查故障时快速查看监控详情的需求。 主题 主题是设置告警通知是客户端订阅通知的特定事件类型，为用户提供一对多的发布订阅以及消息通知功能，支持用户实现一站式多种消息通知方式。云监控服务在监控到云服务资源发生变化时，可通过多种方式通知用户，让用户实时掌握云服务的运行状况。

参数 是否必填 参数类型 说明 示例 下级对象 id 是 String 主键 IW0001 effectScope 是 String 适用于其他主机的作用范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL agentGuids 否 Array of Strings 适用于其他主机的gui列表 [] remark 否 String remark remark data 是 Object 白名单数据 表 data alarmType 是 String 告警类型 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他 1 eventTypeId 是 String 告警名称编码 3500 表 data

本文为您介绍创建告警规则的操作场景、前提条件和操作步骤。 操作场景 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控已经根据各个云服务的应用属性，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则列表页面。 5. 在“告警规则”列表界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，检查频率为设定值，其中策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续1个检测周期，检测频率为60s 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。 关于如何使用回调接口，请参见使用告警回调。 说明 针对监控无数据状态，可配置三种处理策略。 不做处理 逻辑说明：当监控指标在指定周期内没有产生数据时，云监控不会触发任何告警动作，也不会对该情况进行特殊标记或通知。相当于忽略无数据的情况，继续按照正常的告警逻辑，等待后续有数据时再进行判断 。 适用场景：适用于监控指标偶尔会因为业务特性、网络波动等原因出现短暂无数据，但这种无数据情况不会对业务运行产生实质性影响，且频繁发送无数据告警会干扰运维人员的场景。 视为告警 逻辑说明：一旦监控指标在设定的时间周期内没有接收到新的数据，如用户配置告警通知渠道，云监控就会按照预先配置的方式（如短信、邮件等）发送告警信息，提示相关人员当前指标出现无数据的情况。 适用场景：适用于对数据连续性要求较高的业务场景，即无数据本身就可能意味着业务出现异常或者数据采集链路出现故障的情况。 视为恢复 逻辑说明：当监控指标之前处于触发告警的状态，而在后续某个周期内出现无数据的情况时，云监控会将这种无数据状态视为告警已经恢复，自动将告警状态更新为恢复，并按照配置的通知方式发送告警恢复的通知。但如果指标从未触发过告警，单纯出现无数据，不会发送恢复通知 。 适用场景：适用于那些依赖数据来判断告警状态，且无数据可以被认为是问题已解决的场景。 注意 告警规则创建>定义告警策略模块，“检测频率”如需支持修改，请联系客户经理开放功能。 检测频率，即每次告警数据检测任务间隔的时间，默认为1分钟。如云资源监控数据频率为1min，调整告警规则检测频率为30s，则连续两个检测周期，查询获取的数据可能为同一数据点。

如何提升共享带宽实例可加入的弹性IP数量？ 每个共享带宽实例默认最多可加入20个EIP。 当共享带宽实例达到可添加的EIP数量上限，无法继续添加新的EIP时，您可以通过提交工单来申请提升配额。 在您提交工单时，请您说明具体的业务场景，我们将根据您的业务情况为您添加。 如何为加入共享带宽的EIP设置最大可用带宽值？ 共享带宽当前不支持为带宽内的每个IP设置峰值，您可以调整共享带宽的整体带宽大小。 在共享带宽下的弹性IP共同使用该共享带宽，当业务较为集中时，可能出现带宽挤占的情况，请您关注监控数据并及时进行业务调整。 具体操作，请参见修改共享带宽。 是否可以为使用共享带宽的某台主机限制最大可用带宽值？ 不可以。 主机所绑定的弹性IP，加入到共享带宽之后，共同使用该共享带宽，无法单独限制某个弹性IP的峰值带宽，您可以调整共享带宽的整体带宽大小。 主机网卡具有最大内网带宽限制，与共享带宽的峰值带宽无关，具体可参考主机规格说明。 如何将共享带宽中的EIP转移到另一个共享带宽？ 您可以首先将EIP从之前的共享带宽中移出，其操作入口为【操作>更多>移出弹性IP】。 接着将其加入到新的共享带宽中，其操作入口为【操作>更多>添加弹性IP】。 共享带宽的列表页及详情页均支持该两项操作。

处理步骤 检查告警阈值配置或者平滑次数配置是否合理 1.在FusionInsight Manager界面，基于实际CPU使用情况，修改告警阈值和平滑次数配置项。 根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 进程 > omm 进程使用率”中更改告警的平滑次数，如下图所示。 说明 该选项的含义为告警检查阶段，“平滑次数”为连续检查多少次超过阈值，则发送告警。 根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 进程 > omm 进程使用率”中修改对应规则的阈值，如下图所示。 2.等待2分钟，查看告警是否自动恢复。 是，处理完毕。 否，执行步骤3。 检查系统omm用户同时打开的进程（包括线程）最大数的配置是否合理 3.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机地址。 4.以root用户登录告警所在主机。 5.执行命令 su omm ，切换到omm用户。 6.执行命令 ulimit u ，获取到当前配置的omm用户同时打开的线程最大数的配置值，查看该值是否大于等于60000。 是，执行步骤8。 否，执行步骤7。 7.执行命令 ulimit u 60000 ，将omm用户的该配置修改为60000，等待2分钟，查看告警是否消失。 是，处理完毕。 否，执行步骤12。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 主机名 产生告警的主机节点信息。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 主机名 产生告警的主机节点信息。

参数 参数类型 说明 示例 下级对象 custName String 主机名称 testhostname displayName String 实例名称 testinstancename publicIp String 公网ip 192.168.1.1 agentIp String agent ip 192.168.1.1 agentGuid String agentguid 1234567890 userName String 用户名 testusername findTime String 首次发现时间 20220614 10:00:00 timestamp String 最后发现时间 20220614 10:00:00 docId String 事件id testid path String 文件路径 /bin/test.sh virusName String 病毒名称 testvirusname severity String 威胁等级 1低危 2中危 3高危 1 status Integer 状态 0未处理 1已隔离 2已加白 3已删除 7已忽略 99处理中 1 osType String 操作系统类型 Linux/Windows Linux md5 String 文件md5 1234567890 virusHandleType String 病毒处理方式 HANDLE收手动处理 AUTO自动处理 HANDLE quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 virusType String 病毒类型 普通木马 pivotalDoc Integer 是否关键文件 1关键文件 0非关键文件 0 sha256 String sha256 1234567890 pid Integer 进程id 1212 cmd String 进程命令行 /bin/test.sh checkModel Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 taskId Integer 任务id 1 checkWay Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 handleRules Array of Objects handleList 操作列表 handleRules whiteData Object 白名单数据 whiteData eventCategoryId String 告警类型 2 eventTypeId String 告警名称id 4400 virusEngine String 病毒查杀引擎 1:"云查引擎" 2:"本地查杀引擎" 3:"本地查杀引擎" 1 isAutoIsolate String 处理类型 0手动 1自动 为空展示 0 表 whiteData

本章节主要介绍物理机的安全。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云主机、物理机服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的物理机服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。 密钥对 密钥对概述 密钥对，也称SSH密钥对，是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥，一个对外界公开，称为公钥，另一个由用户自己保留，称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据（例如一个密码），用户可以使用私钥解密数据。 天翼云只会存储公钥，您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息，因此将您的私钥保存在一个安全的位置非常重要。 密钥对的功能优势 相比用户名+密码认证方式，密钥对在安全性和便捷性上都更具优势，如下表所示。 表 密钥对与密码对比 对比项 密钥对 用户名 + 密码 安全性 安全强度远高于常规用户口令，可以杜绝暴力破解威胁。 可能通过公钥推导出私钥。 安全性较低。 便捷性 便于远程登录大量Linux实例，方便管理。 一次只能登录一台Linux实例，不利于批量维护。

本页介绍了天翼云关系数据库MySQL安全组规则的设置方法。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本页介绍了关系数据库MySQL版产品如何设置安全组规则。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

实践 描述 命名空间是一个逻辑租户的概念，实现对MDR管控配置和数据的逻辑隔离，承载整个多活项目的资源集合，包括了流量入口，多活分区，数据同步，数据监控等内容。用户可以创建多个命名空间，用于逻辑隔离不同的资源。 在多活容灾服务控制台创建容灾管理中心，容灾管理中心以实例的形式独立运行，所有的操作都是在实例内进行，不同实例间的资源相互隔离。 帮助用户将应用接入到已经创建好的云主机中，并可对用户的应用端口和绑定的数据库、存储等资源进行监控告警。 用户以预案阶段为单位进行编排，形成完整的预案流程。容灾切换模块中通过关联预案创建容灾演练或应急切换以实现容灾的日常演练或故障发生后的应急响应。 容灾切换包括容灾演练和应急切换。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。 在多活容灾服务平台使用资源之前，用户需通过资源管理模块对当前资源进行同步操作，以便MDR侧能够实现统一管理。

本小节介绍微隔离防火墙创建工作组方法。 在接入工作负载之前，推荐先根据业务情况创建工作组，以便于后续工作负载直接接入对应的工作组（也可以先预设几个组，接入工作负载后，再根据业务进行组的划分）。 新建组标签 1.首先点击菜单栏的标签管理： 2.进入标签管理页面后，根据业务属性，创建对应的位置、环境、应用标签（用于后续定义工作组）。 3.标签分为名称及显示名称，名称支持英文、数字及下划线组合，且唯一。显示名称可以为中文，不唯一。 创建工作组 1.点击菜单栏的工作组，进入工作组管理页面： 2.点击新建，在弹出的对话框中输入此工作组的相关信息，根据业务情况选择事先创建的标签。每个工作组由03个组标签定义，若某一项无标签，可不选择。 注意 当工作组无标签时，无法匹配策略。 3.点击确定后，工作组建立完成，拓扑图中会出现该工作组。 安全风险说明 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护微隔离防火墙管理端口6443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AESGCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。 建立IPsec VPN连接需要帐户名和密码吗？ 常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，云的IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入帐户名和密码。 说明 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入帐户名和密码。 目前VPN不支持该扩展技术。 VPN监控可以监控哪些内容？ VPN网关 可以监控网关IP的带宽信息，包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。 查询VPN网关监控状态，请在VPN网关“网关IP”列中单击EIP后面的进行查看。

配置Nginx 1.Nginx安装后，需要配置请求转发规则，告诉Nginx哪个端口收到的请求，应该转发到后端哪个Redis实例。 修改配置文件。 cd /etc/nginx vi nginx.conf 配置示例如下，如果有多个redis实例需要公网连接，可以配置多个server，在proxypass中配置Redis实例连接地址。 stream { server { listen 8080; proxypass 192.168.0.5:6379; } server { listen 8081; proxypass 192.168.0.6:6379; } } 说明 proxypass参数配置值为同一vpc下的Redis实例的IP地址，具体可从缓存实例详情页面的“连接信息”区域获取。 图 Nginx配置 2.重启Nginx服务。 service nginx restart 3.验证启动是否成功。 netstat angrep 808 图 启动Nginx及验证 通过Nginx访问Redis 1. 登录虚拟私有云控制台，确认跳板机的安全组规则是否放开，如果没有，则需要为安全组放开8080和8081两个端口。 2. 在公网环境中打开Redis命令行界面，输入如下命令，登录与查询都正常，大功告成。 说明 公网环境已参考Rediscli连接中相关步骤，安装Rediscli客户端。 ./rediscli h {myeip} p {port} 其中，命令中的{myeip}为主机连接地址，需要填写ECS的弹性IP，端口需要填写ECS上Nginx的监听端口。 如果Redis实例设置了密码访问，则执行本步骤输入密码，校验通过后才可进行缓存数据读写。 auth 其中“ ”为创建Redis实例时自定义的密码，请按实际情况修改后执行。 密码访问回显示例，及登录查询如下：

本文针对linux文件系统提示“readonly file system”问题给出修复方案请您参考。 问题现象 Linux操作系统云主机删除或者修改文件的时候会提示文件系统：Readonly file system，最终导致操作失败。 问题分析 造成这个问题的原因大多数是因为非正常关机后导致文件系统受损引起的，在系统重启之后，受损分区就会被Linux自动挂载为只读。解决的方法是通过fsck来修复文件系统，然后重启即可。报错readonly file system的原因是所在的分区只有读权限，没有写权限(如下图)。 解决方法 使用fsck手动修复，具体操作如下： 重启系统后使用root进入单用户模式，运行。 fsck.ext3 y /dev/vda3 说明 ext3的文件系统使用fsck.ext3，ext4文件系统使用fsck.etx4。/dev/vda3是系统/根分区。运行完毕后，reboot重启系统就恢复正常。fsck.ext3开始进入扫描、修正文件系统，这个过程有时很快，有时比较长，中间有数次停顿的过程，只需等待即可，千万不要以为死机而重启服务器。修正完文件系统后，如果没有提示重启系统，也需要reboot来重启系统。 附fsck参数详解： 使用方法：fsck [参数] 设备名 参数： t : 给定档案系统的型式，若在/etc/fstab中已有定义或kernel 本身已支援的则不需加上此参数。 s : 依序一个一个地执行fsck 的指令来检查。 A : 对/etc/fstab 中所有列出来的partition做检查。 C : 显示完整的检查进度。 d : 列印e2fsck的debug 结果。 p : 同时有A 条件时，同时有多个fsck的检查一起执行。 R : 同时有A 条件时，省略/ 不检查。 V : 详细显示模式。 a : 如果检查有错则自动修复,所以你不用一直按y 键。 y: 与a类似，但是某些文件系统仅支持y 这个参数，所以也可以用y。 r : 如果检查有错则由使用者回答是否修复。

本节介绍云等保专区产品的Web应用防火墙配置类问题。 Web应用防火墙如何进行接入配置？ 1. 用户登录到云等保专区后，在左侧导航树选择“Web应用防火墙”，进入Web应用防火墙原子能力，进行绑定弹性IP操作。 根据弹出的弹性IP地址列表，选择将要绑定弹性IP。 2. 选择Web应用防火墙部署模式，更多信息请参考《云等保专区Web应用防火墙用户使用指南》全局配置，在菜单栏中选择“配置 > 全局配置”进入全局配置页面，编辑相关信息，点击“保存”。 3. 添加保护站点，详细操作可查看《云等保专区Web应用防火墙用户使用指南》配置保护站点操作细则。 4. 配置防护策略，详细操作可查看《云等保专区Web应用防火墙用户使用指南》规则组和自定义规则。 5. 完成基础配置后，可通过以下步骤验证是否配置成功。 1. 使用客户端浏览器访问被保护对象，如基础配置保护站点中添加的保护站点为 2. 在浏览器中输入以下URL模拟SQL注入攻击： 3. 在菜单栏选择“日志+应用防护日志”，查看系统是否记录到SQL注入攻击事件，如存在，点击事件名称检查告警详细信息中记录的主机名和客户端IP地址与测试中使用的保护站点和客户端IP地址是否一致。如一致，说明已经完成web应用防火墙那个接入配置。

本节主要介绍使用限制 操作系统使用限制 AOM支持多种操作系统，详见下表，在购买主机时您需选择AOM支持的操作系统，否则无法使用AOM对主机进行监控。 操作系统 版本 SUSE SUSE Enterprise 11 SP4 64bit SUSE Enterprise 12 SP1 64bit SUSE Enterprise 12 SP2 64bit SUSE Enterprise 12 SP3 64bit OpenSUSE 13.2 64bit 42.2 64bit 15.0 64bit（该版本暂不支持syslog日志采集） CentOS 6.3 64bit 6.5 64bit 6.8 64bit 6.9 64bit 6.10 64bit 7.1 64bit 7.2 64bit 7.3 64bit 7.4 64bit 7.5 64bit 7.6 64bit Ubuntu 14.04 server 64bit 16.04 server 64bit 18.04 server 64bit Fedora 24 64bit 25 64bit 29 64bit Debian 7.5.0 32bit 7.5.0 64bit 8.2.0 64bit 8.8.0 64bit 9.0.0 64bit 资源使用限制 在使用AOM时，您需注意以下使用限制，详见下表。 分类 对象 使用限制 ::: 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 基础规格：指标数据最多保存7天。 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 上报自定义指标 单次请求数据最大不能超过40KB。 指标 应用指标 JOB指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警 。 由于JOB在完成任务之后，会自动退出。如果您需要监控JOB指标，要保证存活时间大于90秒才能采集到指标数据。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 阈值规则 阈值规则 一个项目下最多可创建1000个阈值规则。 阈值规则 发送通知可选择主题数 每个阈值规则最多可选择5个主题。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 历史日志 历史日志存储空间免费额度为500MB 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 日志 统计规则 一个日志桶下最多可创建5条统计规则。 告警中心 告警 您最多可查询最近30天的告警。 告警中心 事件 您最多可查询最近30天的事件。

强制跳转 将请求的HTTP强制302跳转至HTTPS进行请求。 CC攻击 攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫：CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。 DDoS 分布式拒绝服务攻击是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 流量清洗 对流量进行实时监控，及时发现包括DDoS、CC攻击在内的异常流量，在不影响正常业务的前提下，清洗掉异常流量。

本文通过对DNS解析验证、文件验证两种验证方式的详细操作说明，方便客户做域名归属权验证。 背景说明 客户在天翼云客户控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1. 客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云客户控制台返回的TXT记录值（如下记录值仅为示例）。 说明 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值：dnsverify。 TXT记录值为根据域名随机生成： 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云客户控制台，在【域名管理】【域名列表】【添加域名】界面，在【加速域名】输入待验证的域名后，单击【进入验证环节】，验证通过就可以正常操作添加域名。

参数 参数类型 说明 示例 下级对象 virusDatabaseUpdateTime String 病毒数据库更新时间 20220704 00:00:00 agentGuid String agentGuid testid publicIp String 公网IP 192.168.1.1 agentIp String 私网IP 192.168.1.1 custName String 主机名称 testhostname unHandle Integer 未处理告警数量 0 hostNum Integer 病毒查杀风险主机数量 0 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 quotaId String 防护配额ID 6c8caaa32418441c8c164e3f43d76791 expirationDate String 防护配额到期时间 20220704 10:00:00

参数 参数类型 说明 示例 下级对象 status Integer 状态 0关闭 1开启 1 day Integer 扫描频率 1每天 3每3天 7每7天 1 date String 扫描时间，08:00表示每day天的点开始执行 08:00 agentGuidList Array of Strings 作用guid列表 ["testguid"] scopeType String 作用范围 ALL全部主机 OPTIONAL自选主机 ALL vulType Array of Strings 漏洞类型 LINUXlinux漏洞，WINDOWSwindows漏洞, EMERGENCYVUL应急漏洞,APPLICATION应用漏洞,WEBCMSwebcms漏扫 ["LINUX", "WINDOWS"]

消息字段 字段说明 msgid 消息ID。 instanceid 实例ID。 topic Topic名称。 storetimestamp 存储消息的时间。 borntimestamp 产生消息的时间。 reconsumetimes 重试次数。 body 消息体。 bodycrc 消息体校验和。 storesize 存储大小。 propertylist 消息属性列表。lname：属性名称。lvalue：属性值。 bornhost 产生消息的主机IP。 storehost 存储消息的主机IP。 queueid 队列ID。 queueoffset 在队列中的偏移量。

本节为您介绍如何为物理机创建告警规则。 云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“管理与部署>云监控”。 4. 在左侧主机监控功能列表，单击“物理机监控”。 5. 在目标物理机所在行，单击“操作”列的“创建告警规则”。 6. 在“创建告警规则”界面，根据界面提示配置参数。 7. 点击“确定”，即完成告警规则的创建。 8. 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。更多内容请参见创建告警规则。

处理步骤 检查Kafka数据的磁盘配置。 1. 在FusionInsight Manager管理界面，选择“运维 > 告警 > 告警”。 2. 在告警列表中单击该告警，从“定位信息”中获得主机名。 3. 选择“集群 > 待操作集群的名称 > 主机”。 4. 在“主机”页面单击步骤2中获取的主机名称。 5. 检查“磁盘”区域中是否包含该告警中的磁盘分区名称。 是，执行步骤6。 否，手动清除该告警，操作结束。 6. 检查“磁盘”区域中包含该告警中的磁盘分区使用率是否达到百分之百。 是，参考参考信息进行处理。 否，执行步骤7 检查Kafka数据保存时间配置。 7. 选择“集群 > 待操作集群的名称 > 服务 > Kafka > 配置 > 全部配置”。 8. 查看“disk.adapter.enable”参数是否配置为“true”。 是，执行步骤10。 否，执行步骤9。 9. 将“disk.adapter.enable”配置为“true”，开启该功能。然后查看“adapter.topic.min.retention.hours”所配置的数据最短保存周期是否合理。 是，执行步骤10。 否，根据业务需求合理调整数据保存周期。 须知 ：启用磁盘自适应功能可能导致Topic的历史数据被清除，如果有个别Topic不能做保存周期调整，单击“全部配置”，将Topic配置在“disk.adapter.topic.blacklist”参数中。 10. 等待10分钟，查看故障磁盘的使用率是否有减少。 是，继续等待直到告警消除。 否，执行步骤11。

本节为您介绍迁移任务公共配置。 创建迁移任务 在“主机管理”中的“主机详情”页签，单击“创建迁移任务”，进入迁移任务配置界面。 您也可以在“任务追踪”页签，单击“配置任务”或“开始迁移”进入迁移任务配置界面。 迁移源机处于“等待迁移”状态时，在主机管理列表单击“开始迁移”，也可进入迁移任务配置界面。 全量及增量 能够在以下配置界面对迁移任务进行配置，在“是否启用增量”单选项，单击“启用”或者“不启用”即为选择全量或增量迁移。选择增量迁移模式时，在全量迁移结束后，自动开启循环增量。 说明 若开始迁移后源机仍有业务在运行，业务运行中将产生新增数据；如需同步，请勾选启用增量。el5系列不支持增量；如无需将新增数据同步至目标机，请勾选不启用增量，开始迁移后，将不进行系统文件增量变化的监控。

参数 是否必填 参数类型 说明 示例 下级对象 agentGuidList 否 Array of Strings 作用guid列表 ["testguid"] scopeType 是 String 作用范围 ALL全部主机 OPTIONAL自选主机 ALL vulType 是 Array of Strings 漏洞类型 LINUXlinux漏洞，WINDOWSwindows漏洞, EMERGENCYVUL应急漏洞,APPLICATION应用漏洞,WEBCMSwebcms漏扫 ["LINUX", "WINDOWS"] scanType 否 String 为空默认为ALL全部 ALL全部 VUL指定应急漏洞进行扫描 ALL vulAnnouncementId 否 String 指定的应急漏洞公告id testvulid

本节介绍了用户指南： 本地存储概述。 云容器引擎支持使用本地存储卷。当前cstorcsi插件支持通过LVM和LocalPV的方式动态使用容器集群节点上的硬盘或者文件系统。 功能介绍 本地存储卷包含以下几种方式，可以根据业务需求及存储特点进行选择。 类型 存储卷类型 能力供应 特点 LocalPV 动态存储卷 cstorcsi插件 使用节点上已有数据目录，动态创建子路径绑定到PV上，供业务使用。 LocalPV 静态存储卷 Kubernetes原生 通过手动创建PV，指定节点亲和性及本地存储设备的方式使用本地存储。pod无需手动调度指定的节点。 HostPath Kubernetes原生 将主机节点文件系统上指定文件或目录挂载到 Pod 中。 LVM 动态存储卷 cstorcsi插件 基于节点上的数据盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘跟用户容器使用。 约束与限制 cstorcsi插件本地存储功能需要插件版本>3.3.3； 请勿在节点上手动删除存储池或卸载数据盘，否则会导致数据丢失等异常情况； 请勿对本地存储资源自行执行增删改等操作，否则会导致PVC不可用或者无法达到使用预期。 本地存储资源包括存储池管理的VG，PV，LV，或者基于硬盘构建的文件系统；或者自行申领的文件系统等； 重置或缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用； 本地存储并非高可用存储卷，只适用于一些临时数据的保存及应用自带高可用的场景； LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载和节点的亲和性 > 与节点的反亲和性”下的“添加”。 步骤 2 勾选工作负载不希望部署到的节点，单击“确定”。 若勾选多个节点，工作负载将不会部署到这些节点上。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载，工作负载和节点反亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: nodeName node中lable 的key operator: NotIn notin说明不部署 values: testnode1 node中对应key 的value 工作负载创建完成后设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 单击工作负载名称进入详情页，单击“调度策略 > 简易调度策略 > 添加反亲和对象”。 步骤 3 对象类型选择“节点”，勾选工作负载不希望部署到的节点，设置完成后当前工作负载不会部署到已选择的节点上。 图添加反亲和对象节点 说明：该方法可新增、编辑和删除调度策略。

设置root变量为/boot分区，后面可避免重复输入/boot分区的位置 grub> linux /vmlinuz3.10.0957.el7.x8664 rootUUIDc74bd658cd12414f80c60200fe5a6685 指定linux启动用的内核，UUID用来指定根分区。可以ls查看分区内容确定根分区，用ls l获取分区（或分区上文件系统）的UUID。 grub> initrd /initramfs3.10.0957.el7.x8664.img 指定linux启动的内存文件系统，需要和内核版本匹配。 grub> boot 启动系统 需注意，linux/initrd命令最为常用，但有些系统使用linux16/initrd16或linuxefi/initrdefi命令来指定linux内核和内存镜像。如果linux/initrd命令没有用，可以在grub shell中用命令 cat $root/grub2/grub.cfg查看原grub.cfg，以确定使用何种命令。 2. 更新grub.cfg linux系统启动后，登录进入系统。执行下面命令重新生成grub.cfg。 bash 备份旧grub.cfg文件，以防万一 GRUBCFG$(find /boot name "grub.cfg") cp v $GRUBCFG /root 更新grub.cfg 对centos/redhat/rocky/openEuler等发行版 grub2mkconfig $GRUBCFG debian/ubuntu等发行版 updategrub 更新grub.cfg后，请重启测试是否修复了问题。

参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 组网方案 可选“高性能核心网”或者“互联网直连”。 “高性能核心网”表示各个设备均需连接到SDWAN POP上，设备上的流量通过POP之间的网络进行传输； 互联网直连表示各个设备之间直接打通，流量不经过POP绕转。 这里需选择“互联网直连”。 区域 所属位置信息。 基础带宽 互联网直连组网方案暂不支持带宽限速，无需配置带宽。 网关形态 可选择硬件版、软件版，这里选择“硬件版”。 是否购买设备 表示是否需要从天翼云购买设备。 选择“是”，则天翼云会为您准备一台设备； 选择“否”，则需要用户自备设备。 这里选择“是”。 设备类型 购买设备时，需要选择设备的型号。 可以选择经济版、标准版、企业版、企业增强版。 增值业务 可选的增值业务，包括5G服务、WIFI服务、LTE服务。 使用方式 表示设备的使用方式。可选择单机或者双机备份。 地址信息 表示设备的装机地址。请准确填写地址信息，提交订单后不支持更改。