本文主要介绍 云日志服务PHP SDK接入指南。 1. 前言 安装使用PHP SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能，目前支持同步上传等功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK PHP版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装PHP 7.2及以上 运行环境。 2.2. 下载及安装 下载ctyunltsphpsdk.zip压缩包，放到相应位置后并解压。“ctyunltsphpsdk/example”目录中samplePutlogs.php为SDK的使用示例代码。 2.2.1. 编译使用 1、php sdk 使用前需安装composer。 2、从 getcomposer.org 下载 Composer 的安装脚本，并通过 PHP 执行它。下载完成后，你通常会看到一个名为 composer.phar 的文件。为了全局访问 Composer，你可以将它移动到 /usr/local/bin/ 目录下，并给它重命名为 composer： plaintext sudo mv composer.phar /usr/local/bin/composer 3、这样你您就可以在任何地方通过 composer 命令来访问 Composer 了。 plaintext composer version 4、进行项目文件，在composer.json的目录，执行安装命令。 plaintext composer install 5、更新依赖。 plaintext composer update 之后，进入example目录，运行samplePutlogs.php。 plaintext php samplePutlogs.php 3. SDK使用设置 3.1. 基本使用 使用 SDK访问云日志服务，需要设置正确的 AccessKey、SecretKey 和endpoint，所有的服务可以使用同一 key 凭证来进行访问，但不同的服务地区需要使用不同的 endpoint 进行访问，详情参考天翼云官网SDK接入概述。在调用前SDK，需要已知以下参数： 云日志服务访问地址。详情请查看访问地址（Endpoint）。 key凭证：accessKey和secretKey 。详情请查看如何获取访问密钥（AK/SK）。 日志项目编码：logProject，在使用SDK前，需要确保您有至少一个已经存在的日志项目。 日志单元编码：logUnit，在使用SDK前，需要确保日志项目中有至少一个已经存在的日志单元。 待上传的日志：logItem，在使用SDK前，需要确保日志已按照特定格式组织。 参数 参数类型 描述 是否必须 endpoint string 域名 是 accessKey string AccessKey，简称ak 是 secretKey string SecretKey ，简称sk 是 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 示例代码：SDK使用示例 plaintext contentsPushBack("contentint", 123456); $logItem>contentsPushBack("contentmessage", "php sdk"); $logItem>contentsPushBack("contentdouble", 3.1415); $logItem>labelsPushBack("usertag", "string"); $logItems[] $logItem; } $accessKey "your accessKey"; $secretKey "your secretKey"; $endpoint "endpoint"; $logProject "your logProject"; $logUnit "your logUnit"; try{ $logClient new LogClient($accessKey, $secretKey, $endpoint); for($i 0; $i putLogs($logProject, $logUnit, $logItems); printf(strval($i) . ",statusCpde:%s , message:%s , errorCode:%s n", $logResponse>getStatusCode(), $logResponse>getMessage(), $logResponse>getErrorCode() ); } }catch(LogException $e){ printf("putLogs failed, code:%d, message:%sn", $e>getCode(), $e>getMessage() ); }

本文主要介绍 云日志服务node.js SDK接入指南。 1. 前言 安装使用node.js SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能，目前支持同步上传功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK node.js版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装node.js运行环境,推荐node16以上环境。 2.2. 下载及安装 从官方渠道下载ctyunltsnodejssdk.zip压缩包，放到相应位置后并解压。“ctyunltsnodejssdk/src”目录中index.ts为SDK的使用示例代码。 2.2.1. 编译使用 1、node,js sdk 使用前需安装node.js运行环境。 2、打开项目，执行以下命令安装依赖。如果失败，可以加上镜像源，比如天翼云：npm install registryxxx plaintext npm install 3、安装tsnode，tsnode是用于编译并执行TypeScript文件的工具。 plaintext npm i tsnode g 4、将ts文件编译为js文件。它会将js文件输出到dist目录下。（可在tsconfig.json里面进行修改） plaintext tsc 5、运行测试用例。 plaintext tsnode ./src/index.js 3. SDK使用设置 3.1. 基本使用 使用 SDK访问云日志服务，需要设置正确的 AccessKey、SecretKey 和endpoint，所有的服务可以使用同一 key 凭证来进行访问，但不同的服务地区需要使用不同的 endpoint 进行访问，详情参考天翼云官网SDK接入概述。在调用前SDK，需要已知以下参数： 云日志服务访问地址。详情请查看访问地址（Endpoint）。 key凭证：accessKey和secretKey 。详情请查看如何获取访问密钥（AK/SK）。 日志项目编码：logProject，在使用SDK前，需要确保您有至少一个已经存在的日志项目。 日志单元编码：logUnit，在使用SDK前，需要确保日志项目中有至少一个已经存在的日志单元。 待上传的日志：logItem，在使用SDK前，需要确保日志已按照特定格式组织。 参数 参数类型 描述 是否必须 endpoint string 域名 是 accessKey string AccessKey，简称ak 是 secretKey string SecretKey ，简称sk 是 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 示例代码：SDK使用示例 plaintext import as lts from "./index"; async function testPutlog() { const ak 'your accessKey' const sk 'your secretKey' const logProject 'your logProject' //日志项目编码 const logUnit 'your logUnit' //日志单元编码 const endpoint 'your endpoint' //不同资源池endpoint不同 const logItems new Array(); for (let i 0; i < 10; i++) { //一次请求上传10条日志 const logItem new lts.LogItem("node.js sdk test"); logItem.setLogTimestamp(Date.now() 1000 1000); //可省略,默认为当前时间 logItem.addContent("contentString", "contents test string"); //增加分词内容,也可不加 logItem.addContent("contentDouble", 3.1415926); //增加分词内容,也可不加 logItems.push(logItem); } try { const client new lts.Client(ak,sk,endpoint ) // const client new lts.Client(ak, sk, endpoint, "none"); //不使用lz4 压缩 //上传日志，100次，总计10010 1000条日志 for (let i 0; i < 1; i++) { const putLogsResponse: lts.PutLogsResponse await client.putLogs( logProject, logUnit, logItems ); console.log( "statusCode:", putLogsResponse.statusCode, ", message:", putLogsResponse.message, ", error:", putLogsResponse.error ); } } catch (e) { console.log(e); } } //执行测试,上传日志 testPutlog()

云防火墙（原生版） N100型为用户提供了全面的IPv6支持方案，本文将详细说明在实施和迁移到IPv6环境时的最佳实践。 前提条件 在使用云防火墙（原生版） N100型的IPv6方案之前，确保满足以下前提条件： 双栈云主机 ：承载云防火墙（原生版） N100型的云主机必须支持IPv6双栈，即同时支持IPv4和IPv6协议。如果当前云主机不支持双栈，请重新下单申请新的支持双栈的云主机，关于双栈云主机的详细信息请参见双栈云主机。 子网启用IPV6 ：在迁移过程（重新下单）中，承载云防火墙（原生版） N100型的云主机所在的子网必须启用IPv6。确保子网设置正确，以避免开通问题。若未启用IPv6，请在控制台中提前进行配置，详细操作请参见开启IPv6双栈。 方案步骤 为确保顺利实施IPv6方案，建议遵循以下步骤： 1. 环境评估 检查当前云主机的配置，确认其是否为IPv6双栈主机。 评估现有应用和服务的IPv6兼容性，确保迁移不会影响业务。 2. 子网启用IPv6 在云平台控制台中，检查云防火墙（原生版） N100型主机需要使用的子网是否开启IPV6，即确保子网已启用IPv6。若尚未启用，请参考开启IPv6双栈进行设置。 3. 申请双栈主机 对于不支持IPv6的云防火墙（原生版） N100型主机，需重新下单云防火墙（原生版） N100型开通双栈云主机，确保其所选主机支持IPv6，详细操作请参见购买N100实例。 4. 进行IPv6切换 对于希望使用IPv6方案的现有用户，请按照以下步骤进行切换： 1. 登录云防火墙（原生版）管理控制台。 2. 点击实例列表操作列的“配置”，登录云防火墙（原生版）实例，进入配置界面。 3. 根据需求完成云防火墙（原生版）IPV6策略等配置。 4. 业务割接。 5. 测试与验证 完成配置后，进行全面的测试，以确保IPv6连接正常。验证云防火墙（原生版） N100型的安全策略是否有效应用于IPv6流量。 6. 监控与优化 实施后，请定期监控IPv6流量，评估防火墙性能，并根据业务需求及时优化安全策略，以应对网络变化。 说明 如需进一步支持，欢迎联系技术支持团队获取更多信息和帮助。

测试非天翼云云主机 使用条件 远程连接开启且连接状态为非“测试中”可进行测试操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 点击列表上方标签页中“非天翼云云主机”栏，进入非天翼云云主机列表页。 6. 点击列表操作栏“测试”按钮，测试后状态会同步至列表栏的连接状态中。 编辑非天翼云云主机 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 点击列表上方标签页中“非天翼云云主机”栏，进入非天翼云云主机列表页。 6. 点击列表操作栏“编辑”按钮，弹出编辑非天翼云云主机弹窗。 7. 填写云主机相关信息，当前云主机实例已被容灾管理中心关联，不支持修改“所属分区”和“操作系统类型”，可在解除关联后对其修改。各配置项说明如下： 参数 是否必填 配置说明 云主机实例名 √ 填写云主机实例名，同命名空间下非天翼云云主机实例名称需唯一。 长度为263字符。 所属分区 √ 选择当前命名空间下云主机所属分区，当前云主机实例已被容灾管理中心关联时不支持修改。 操作系统类型 √ 选择操作系统类型，可选Linux/Windows，当前云主机实例已被容灾管理中心关联时不支持修改。 操作系统版本 √ 填写操作系统版本。 长度为263字符。 IP地址 √ 输入云主机IP地址，该地址需为多活容灾服务平台能与其连通的IP地址。 每个字段的数据范围为0255，不可填0.0.0.0或255.255.255.255。 若IP与系统中已有天翼云云主机或非天翼云云的公网IP重复，需用户确认相关警告。 配置 × 填写或选择当前云主机的配置。 CPU数值范围为1512，内存数值范围为12048。 描述 × 填写描述。 长度为0100个字符。 8. 点击“确定”按钮，完成修改非天翼云云主机实例操作。

本节主要介绍ECS自建MySQL迁移RDS实例 概述 概述：自建MySQL迁移上云场景本章节采用了数据复制服务产品（简称DRS），在DRS能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可自动完成整个数据迁移过程。迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 典型行业：所有使用MySQL数据库的行业。 适配场景：适用于实时迁移场景。 技术架构图 本实践方案基于如下图所示的技术架构和主要流程。 图 1 数据库迁移原理图 前提条件 在进行本文操作之前，您需要完成以下准备工作： 1、创建好目的端数据库并将两端网络打通。 2、资源池需具备DRS产品开通能力。 网络资源规划 Figure 1 网络资源规划 资源类型 配置项 配置明细 说明 区域 区域 上海4 本最佳实践全部资源部署在上海4资源池 自建库公网IP 公网IP 101.89.205.115 目的库公网IP 公网IP 218.78.58.35 弹性计算资源规划 Figure 2 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS（MySQL 服务器） ECS名称 ecsbendi 自定义，易理解可识别 ECS（MySQL 服务器） 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云主机的实例规格。 ECS（MySQL 服务器） 操作系统 Centos7.6 ECS（MySQL 服务器） 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rdstest 自定义，易理解可识别 RDS 数据库版本 MySQL 5.7 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB 数据库复制服务资源规划 资源类型 配置项 配置内容 说明 :::: DRS迁移任务 迁移任务名 DRSmysql 自定义 DRS迁移任务 源数据库引擎 MySQL 本示例中源数据库为自建MySQL，即在天翼云弹性云主机上安装社区版MySQL。 DRS迁移任务 目标数据库引擎 MySQL 本示例中目标数据库也是MySQL，使用的天翼云RDS实例。 DRS迁移任务 网络类型 公网网络 本示例中采用“公网”。

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

云资源集成系统产品使用手册 一、 产品概述 1.1 产品介绍 云资源集成管理系统CRIMS 是一款数据中心资产监测管理软件，旨在帮助数据中 心管理相关人员或资产所有人解决资产管理混乱、资产状态未知、已有资产使用不明确 等问题。 本系统以功能模块做标准版及增购版的区分，标准版含：首页、监测、数据分析、 发现、告警、系统；增购版另有能耗、资产、机房、报修、专线、存储、自动装机、vKVM、 控制管理模块可组合加购。 1.2 产品核心能力 CRIMS 采用领先的带外与带内结合管理技术实现对业务硬件与软件的全方面监控， 可对数据中心 IT 基础设施进行监测、管理运营，为软硬件设备提供全生命周期管理，实 现设备从采购、安装使用，再到运维、报废的全过程服务。并对监测数据进行分析、管 理，为日常运营提供支持。CRIMS 无需在每台服务器上安装代理软件，减少对操作系 统的影响。可以有效帮助用户减少繁琐、重复、费时的各项运维工作，保障数据中心设 备安全、稳定运行，同时降低数据中心运营成本。 1.3 产品优势 CRIMS 硬件监控方面支持各个品牌各个型号的小型机、刀片服务器、刀箱、塔式& 机柜式服务器的硬件状态和各个厂家的高端存储、中端存储、低端存储、虚拟化存储、 虚拟带库、物理带库等存储资源，硬件监控内容包括：电源、风扇、内置磁盘、CPU、 内存、网卡、HBA 卡、拓展模块等服务器各个部件运行状态，配置信息，电源、风扇、 电池、磁盘柜、硬盘、控制器、Array、机械手、磁带机等； CRIMS 软件监控方面支持监控主流操作系统：Linux，Windows，AIX，AS400， ScoUnix，Solaris，HP Unix，国产 UOS 的服务状态；主流云平台：VMWare，Red Hat， FusionCompute，Amazon，阿里云，Docker 的虚 机状态；主流数据库：DB， MySQL,Oracle,Oracle Rac,Oscar,PostgreSQL,SQLServer,SyBase 的库状态,主流应用 程序：AD，Apache，HACMP，IBM MQ，IIS，Nginx，PowerHA，RHCS，Resin， Exchange，JBoss，JBoss EAP，Kafka，Lotus，Memcached，PolyCom，Redis，Tomcat， Tuxedo，Url Recored，WebLogic，Zookeeper 的进程状态，软件监控内容包括：时间 校验，文件数量，进程数量，IO 性能，网络速率，服务状态，Lun，Cache 统计，控制 器，，FC 端口，PCIe 端口，FCoE 端口，NE 节点，异网 IP，文件系统，线程缓存，缓 冲排序，Query 缓存，访问量(QPS)，数据库引擎，主备复制，表空间信息，数据目录等。 更多产品使用具体方法请下载附件查看。 云资源集成系统产品使用手册part1智能运维标准服务.pdf

根据《天翼云网站服务条款》、《云平台安全规则》等天翼云规范性文件要求，若您使用天翼云产品发布、存储、传播以下信息和内容，天翼云除有权根据相关服务条款采取通知限期整改、屏蔽信息、中止服务、终止服务的措施，有权限制您账户如登录、新购产品或服务、续费、支付、提现等部分或全部功能，并有权限限制您同一主体认证新账号、冻结同一账号/主体下的部分/全部资源。 违规类型说明 安全违规信息类型说明，请参见：《安全违规信息类型说明》 安全违规行为类型说明，请参见：《安全违规行为类型说明》 违规管控分级说明 说明 一般违规行为、严重违规行为、特别严重行为将根据监管部门要求、同一用户违规次数、是否配合监管部门/天翼云的安全措施要求、是否可能导致大量违规信息/行为的产生、违规信息是否造成大量传播、是否情节严重、是否造成严重后果等，由天翼云基于一般常识综合判定。 违规信息类 各违规类型的通用违规管控规则： 违规类型 对应的违规管控 一般违规行为 根据产品分类，执行对应的违规管控 严重违规行为 封禁违规客户账号及账号下的全部资源、封禁实名 特别严重违规行为 封禁同一主体证件下的全部账号及资源、封禁实名 各产品一般违规行为的违规管控规则： 产品分类 一般违规行为的违规管控 计算产品 (ECS/物理云主机/GPU云主机/轻量化云主机等） 包括但不限于：通知限期整改、阻断域名、实例关停、冻结违规资源 网络产品 (SLB/弹性公网IP等) 包括但不限于：通知限期整改、阻断域名、网络实例停用、冻结违规资源 对象存储（ZOS、OOS、OBS、媒体存储） 包括但不限于：通知限期整改、文件冻结、文件限制访问、冻结bucket、冻结违规资源 CDN 包括但不限于：通知限期整改、停止加速、加速域名下线、冻结违规资源 域名 包括但不限于：通知限期整改、域名暂停解析、域名暂停解析并禁止转移、禁用域名信息模板、冻结违规资源 云解析 DNS 包括但不限于：通知整改、锁定解析记录、域名暂停解析、冻结违规资源 智能边缘云 包括但不限于：通知限期整改、阻断url/域名、节点实例关停、冻结违规资源 DDoS 防护 包括但不限于：通知限期整改、停止防护域名的流量转发、停止防护实例的流量转发、冻结违规资源 Web应用防火墙 包括但不限于：通知限期整改、阻断url/域名、冻结违规资源 其他产品 包括但不限于：冻结违规资源

云监控服务基于云服务自身的服务属性，已经内置了详细全面的监控指标。当您在云平台上开通云服务后，系统会根据服务类型自动关联该服务的监控指标，帮助您实时掌握云服务的各项性能指标，精确掌握云服务的运行情况。 本章节指导用户如何查看云服务资源的监控数据，若发现有异常时可以及时处理。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“云服务监控 > 云服务名称 ”。 进入“云服务监控”页面。 4. 选择待查看的云服务资源所在行的“查看监控指标”。 进入“监控指标”页面。 您可以选择页面左上方的时间范围按钮，查看该云服务资源“近1小时”、“近3小时”、“近12小时”、“近24小时”和“近7天”的监控原始数据曲线图，同时监控指标视图右上角会动态显示对应时段内监控指标的最大值与最小值。您也可以打开自动刷新开关来查看每分钟刷新的实时数据。 说明 监控图表中单位为字节和字节每秒的指标支持单位切换。单位切换时，当最大值小于10^(5)时，会出现最大值和最小值同时为0的情况，并且监控图表数据全为0。 打开“自动刷新”开关，可每分钟自动刷新一次数据。 通过搜索框，您可以查找特定指标。 部分服务支持查看资源详情，您可以通过单击页面上方的“查看资源详情”按钮来查看被监控资源的详细信息。 5. 鼠标滑动到对应指标后，单击指标视图右上角的图标。 进入监控详情页面。 监控详情页面提供更长时间范围的指标情况。您可以查看“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”和“近30天”6个固定时长的监控周期，同时也支持以通过“自定义时间段”选择查看近六个月内任意时间段的历史监控数据。 说明 “近1小时”、“近3小时”、“近12小时”、“近24小时”的监控数据：系统默认显示原始数据。您可以选单击页面左上方的“设置”，对监控数据的聚合方法进行更改。 “近7天”、“近30天”的监控数据：系统默认显示聚合后的数据。您可以选单击页面左上方的“设置”，对监控数据的聚合方法进行更改。 6. 在监控视图右上角，单击 ，可创建针对该指标的告警规则。 7. 若需要导出数据，可在云服务监控页面单击“导出监控数据”，跟据界面提示选择参数后单击“导出”完成导出数据。

接口约束   1. 专属云内创建云主机均为按需类型云主机   2. 自动分配弹性IP（extIP"1"）时，需要填写弹性IP版本（ipVersion）与带宽大小（bandwidth）；使用已有的弹性IP（extIP"2"）时，需要填写弹性IP的版本（ipVersion）和对应弹性IP的ID（eipID或ipv6AddressID）   3. 挂载网卡时，子网与虚拟私有云存在对应关系，确保子网属于当前虚拟私有云 URI POST /v4/dec/batchcreateinstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个clientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看地域和可用区来了解资源池 获取： 查 资源池列表查询 bb9fdb42056f11eda1610242ac110002 azName 是 String 可用区名称，您可以查看地域和可用区来了解可用区 获取： 查 资源池可用区查询 注：查询结果中zoneList内返回存在可用区名称(即多可用区，本字段填写实际可用区名称)，若查询结果中zoneList为空（即为单可用区，本字段填写default） cnhuadong1jsnj1Apublicctcloud instanceName 是 String 云主机名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式）。不同操作系统下，云主机名称规则有差异。 Windows：长度为215个字符（当创建两台及两台以上的云主机时名称长度为210个字符），允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字； 其他操作系统：长度为264字符（当创建两台及两台以上的云主机时名称长度为259个字符），允许使用点（.）分隔字符成多段，每段允许使用大小写字母、数字或连字符（），但不能连续使用点号（.）或连字符（），不能以点号（.）或连字符（）开头或结尾，也不能仅使用数字 ecm3300 displayName 是 String 云主机显示名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号”{}”两类字符单独存在或其它组合方式），长度为263字符。 ecm3300 flavorID 是 String 云主机规格ID，您可以查看规格说明了解弹性云主机的选型基本信息 获取： 查 查询一个或多个云主机规格资源 注：同一规格名称在不同资源池不同可用区的规格ID是不同的，调用前需确认规格ID是否归属当前资源池，多可用区资源池确认是否归属当前可用区 0824679adc8647dca0d39c330928f4f6 decTypeID 否 String 专属云存储ID 32af90b5664c41c4bc590f88b39eebc2 imageType 是 Integer 镜像类型，取值范围： 0（私有镜像）， 1（公有镜像）， 2（共享镜像）， 3（安全镜像）， 4（甄选镜像） 您可以查看镜像概述查看关于云主机镜像介绍 1 imageID 是 String 镜像ID，您可以查看镜像概述来了解云主机镜像 获取： 查 查询可以使用的镜像资源 创 创建私有镜像（云主机系统盘） 创 创建私有镜像（云主机数据盘） 注：同一镜像名称在不同资源池的镜像ID是不同的，调用前需确认镜像ID是否归属当前资源池 9d9e89988ed543b299cb322f2b8cf6fa bootDiskType 是 String 系统盘类型，取值范围： SATA（普通IO）， SAS（高IO）， SSD（超高IO）， SSDgenric（通用型SSD）， FASTSSD（极速型SSD），您可以查看磁盘类型及性能介绍来了解磁盘类型及其对应性能指标 SATA bootDiskSize 是 Integer 系统盘大小单位为GiB，取值范围：[40, 32768]，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费 40 vpcID 是 String 虚拟私有云ID，您可以查看产品定义虚拟私有云来了解虚拟私有云 获取： 查 查询VPC列表 创 创建VPC 注：在多可用区类型资源池下，vpcID通常为“vpc”开头，非多可用区类型资源池vpcID为uuid格式 4797e8a1722d49969362458001813e41 networkCardList 是 Array of Objects 网卡信息列表，您可以查看弹性网卡概述了解弹性网卡相关信息 networkCardList extIP 是 String 是否使用弹性公网IP，取值范围： 0（不使用）， 1（自动分配）， 2（使用已有）。 注：自动分配弹性公网，默认分配IPv4弹性公网，需填写带宽大小，如需ipv6请填写弹性IP版本（即参数extIP"1"时，需填写参数bandwidth、ipVersion，ipVersion含默认值ipv4）； 使用已有弹性公网，请填写弹性公网IP的ID，默认为ipv4版本，如使用已有ipv6，请填写弹性ip版本（即参数extIP"2"时，需填写eipID或ipv6AddressID，同时ipv6情况下请填写ipVersion） 2 projectID 否 String 企业项目ID，企业项目管理服务提供统一的云资源按企业项目管理，以及企业项目内的资源管理，成员管理。您可以通过查看创建企业项目了解如何创建企业项目 注：默认值为"0" 0 secGroupList 否 Array of Strings 安全组ID列表，您可以查看安全组概述了解安全组相关信息 获取： 查 查询用户安全组列表 创 创建安全组 注：在多可用区类型资源池下，安全组ID通常以“sg”开头，非多可用区类型资源池安全组ID为uuid格式；默认使用默认安全组，无默认安全组情况下请填写该参数 ["202ca2d2273a5995873b03731212c8e4"] dataDiskList 否 Array of Objects 数据盘信息列表，注：同一云主机下最多可挂载8块数据盘 dataDiskList ipVersion 否 String 弹性IP版本，取值范围： ipv4（v4地址）， ipv6（v6地址）， 不指定默认为ipv4。注：请先确认该资源池是否支持ipv6 ipv4 bandwidth 否 Integer 带宽大小，单位为Mbit/s，取值范围：[1, 2000] 100 ipv6AddressID 否 String 弹性公网IPv6的ID，注：多可用区类资源池暂不支持；填写该参数时请填写ipVersion为ipv6 eip5sdasd2gfh eipID 否 String 弹性公网IP的ID，您可以查看产品定义弹性IP来了解弹性公网IP 获取： 查 查询指定地域已创建的弹性 IP 创 创建弹性 IP eip9jpeyl0frh affinityGroupID 否 String 云主机组ID，获取： 查 查询云主机组列表或者详情 创 创建云主机组 259b0c37104441d8989e keyPairID 否 String 密钥对ID，您可以查看密钥对来了解密钥对相关内容 获取： 查 查询一个或多个密钥对 创 创建一对SSH密钥对 c57d06268a82407ba910b454907778c3 userPassword 否 String 用户密码，满足以下规则： 长度在8～30个字符； 必须包含大写字母、小写字母、数字以及特殊符号中的三项； 特殊符号可选：()~!@

本章介绍云监控的权限管理。 如果您需要对云服务平台上的云监控服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云监控服务的使用权限，但是不希望他们拥有删除其他云服务资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云监控服务，但是不允许删除其他云服务资源的权限策略，控制他们对其他云服务资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云监控服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证服务》。 云监控服务权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云监控服务部署时通过物理区域划分，为项目级服务，需要在各区域对应的项目中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问云监控服务时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云监控服务，管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 如下表所示，包括了云监控服务的所有系统权限。 表 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccessPolicy 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考:统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccessPolicy 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用 CES AgentAccess CES Agent正常运行所需的必要权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest：全局级策略，在全局项目中勾选。 CES FullAccess 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 说明 CES FullAccess不满足权限最小化原则，后续不推荐使用，建议使用CES FullAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 说明 CES ReadOnlyAccess不满足权限最小化原则，后续不推荐使用，建议使用CES ReadOnlyAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 下表列出了云监控服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 功能 操作 CES FullAccessPolicy CES ReadOnlyAccessPolicy CES Administrator （需同时添加Tenant Guest策略） Tenant Guest 监控概览 查看监控概览 √ √ √ √ 监控概览 查看监控大屏 √ √ √ √ 监控大盘 创建监控大盘 √ × √ × 监控大盘 查看监控大盘 √ √ √ √ 监控大盘 查看监控大屏 √ √ √ √ 监控大盘 添加监控视图 √ × √ × 监控大盘 查看监控视图 √ √ √ √ 监控大盘 修改监控视图 √ × √ × 监控大盘 删除监控视图 √ × √ × 监控大盘 调整监控视图位置 √ × √ × 监控大盘 删除监控大盘 √ × √ × 我的看板 创建我的看板 √ × √ × 我的看板 查看监控大屏 √ √ √ √ 我的看板 查看我的看板 √ √ √ √ 我的看板 删除我的看板 √ × √ × 我的看板 添加监控视图 √ × √ × 我的看板 查看监控视图 √ √ √ √ 我的看板 修改监控视图 √ × √ × 我的看板 删除监控视图 √ × √ × 我的看板 调整监控视图位置 √ × √ × 资源分组 创建资源分组 √ × √ × 资源分组 查看资源分组列表 √ √ √ √ 资源分组 查看资源分组（资源概览） √ √ √ √ 资源分组 查看资源分组（告警规则） √ √ √ √ 资源分组 修改资源分组 √ × √ × 资源分组 删除资源分组 √ × √ × 告警规则 创建告警规则 √ × √ × 告警规则 修改告警规则 √ × √ × 告警规则 启用告警规则 √ × √ × 告警规则 停用告警规则 √ × √ × 告警规则 删除告警规则 √ × √ × 告警规则 导出告警规则 √ √ √ × 告警规则 查看告警规则列表 √ √ √ √ 告警规则 查看告警规则详情 √ √ √ √ 告警规则 查看监控图表 √ √ √ √ 告警记录 查看告警记录 √ √ √ √ 告警记录 查看监控详情 √ √ √ √ 告警记录 屏蔽告警 √ × √ × 告警记录 手动恢复告警记录 √ × √ × 告警模板 查看默认告警模板 √ √ √ √ 告警模板 查看自定义告警模板 √ √ √ √ 告警模板 创建自定义告警模板 √ × √ × 告警模板 修改自定义告警模板 √ × √ × 告警模板 删除自定义告警模板 √ × √ × 主机监控 查看主机列表 √ √ √ √ 主机监控 查看主机监控指标 √ √ √ √ 主机监控 安装Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 修复插件配置 √（需同时拥有Security Administrator、ECS FullAccess权限） × √（需同时拥有Security Administrator、ECS FullAccess权限） × 主机监控 卸载Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 配置进程监控 √ × √ × 主机监控 配置自定义进程监控 √ × √ × 云服务监控 查看云服务列表 √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √ √ 云服务监控 查看云服务监控指标 √ √ √ √ 自定义监控 添加自定义监控数据 √ × √ × 自定义监控 查看自定义监控列表 √ √ √ √ 自定义监控 查看自定义监控数据 √ √ √ √ 事件监控 添加自定义事件 √ × √ × 事件监控 查看事件列表 √ √ √ √ 事件监控 查看事件详情 √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × 数据转储到DMS Kafka 查询数据转储任务列表 √ √ √ √ 数据转储到DMS Kafka 查询指定数据转储任务 √ √ √ √ 数据转储到DMS Kafka 修改数据转储任务 √ × √ × 数据转储到DMS Kafka 启动数据转储任务 √ × √ × 数据转储到DMS Kafka 停止数据转储任务 √ × √ × 数据转储到DMS Kafka 删除数据转储任务 √ × √ × 其他 配置数据转储 √（需同时拥有OBS Bucket Viewer权限） × √（需同时拥有Tenant Administrator权限） × 其他 导出监控数据 √ √ √ × 其他 发送告警通知 √ × √ ×

本文介绍如何将数据从其它云迁移到海量文件服务。 应用场景 在第三方云厂商存储大量数据的用户，如果想要将数据迁移至天翼云海量文件服务（后文简称OceanFS），传统方法需要先将存储在第三方云厂商上的数据下载到本地，再通过客户端手动上传到OceanFS，整个过程耗时又耗力，容易存在漏传、误传等问题。因此本文推荐您配置一个弹性云主机实例挂载OceanFS作为数据传输的中转节点，然后通过迁移工具将数据从本地至天翼云OceanFS。 FileZilla Client是一款强大且易用的跨平台FTP客户端软件，能帮助用户高效、稳定地进行多种协议的文件传输。本文基于FileZilla作为SFTP客户端，用户可根据需求选择合适的版本下载安装该客户端工具。 前提条件 已拥有一个NFS协议OceanFS文件系统。 准备一台与海量文件系统在同一VPC网络下的Linux弹性云主机（须配置弹性IP）。 同时保证该文件系统可挂载至弹性云主机上，即二者之间网络通畅。 准备工作 分别创建一个海量文件系统和一台弹性云主机，具体操作请参考创建海量文件系统、创建弹性云主机。 下载安装迁移客户端工具。 操作步骤 将第三方数据迁移至海量文件系统可以分为几个关键步骤：将第三方数据下载至本地 > 挂载海量文件系统 > 本地安装SFTP客户端并与挂载海量文件系统的弹性云主机建立连接 > 迁移本地数据到海量文件系统 。具体操作步骤如下： 1. 将第三方数据下载至本地目录。 2. 将海量文件系统挂载到云主机 。将海量文件系统挂载至Linux云主机中“/mnt/OceanFS”目录下，具体操作请参考挂载文件系统。 3. 本地安装SFTP客户端并与挂载海量文件系统的弹性云主机建立连接。 1）本地安装SFTP客户端，根据页面提示进行下载安装。 2）安装完成后输入主机、用户名、密码和端口，参数说明见下表。配置完成后，点击“快速连接”建立连接。 3）配置完成，点击“快速连接”，建立连接。 参数 说明 主机 弹性云主机绑定的公网IP，即弹性IP。 用户名 弹性云主机的用户名，例如root（注意：需要保证建立连接的用户拥有读写海量文件系统目录的权限）。 密码 弹性云主机用户登陆密码，例如root用户登陆密码。 端口 SFTP端口号，默认为22。 4）建立连接后，页面左侧为要迁移数据的目录，右侧为OceanFS文件目录路径（/mnt/OceanFS)。 4. 迁移数据 。在左侧区域想要迁移的文件或者目录上点击右键，然后点击“上传”即可完成迁移数据到海量文件系统上。

实例的生命周期指从创建实例开始到销毁实例结束,实例所经历的状态。 实例状态分为稳定状态和中间状态，中间状态是实例在到达稳定状态前暂时处于的状态，如果实例长时间处于中间状态，说明可能出现了异常。 在实例生命周期中可能的状态如下表所示： 状态 状态类型 说明 创建中 中间状态 创建实例之后在实例开通完成之前的中间状态，创建完成后该实例会变为“运行中”。 运行中 稳定状态 实例正常运行状态，用户可正常运行相关业务。 停止中 中间状态 对处于“运行中”状态的实例执行关机操作后的中间状态，关机完成后该实例变为“关机”。 节省关机中 中间状态 对处于“运行中”状态的实例执行节省关机操作后的中间状态，关机完成后该实例变为“节省关机”。 关机 稳定状态 操作实例关机，经过“停止中”到达的稳定状态。在“关机”状态下的实例，不能对外提供服务。 节省关机 稳定状态 操作实例节省关机，经过“节省关机中”到达的稳定状态。在“节省关机”状态下的实例，不能对外提供服务。 启动中 中间状态 对处于“关机”状态的实例执行开机操作后的中间状态，启动完成后该实例变为“运行中”。 重启中 中间状态 对处于“运行中”状态的实例执行重启操作后的中间状态，重启完成后该实例变为“运行中”。 变配中 中间状态 对实例执行变配操作后的中间状态，变配成功后会置为执行变配前原本的状态。 重建中 中间状态 对处于“关机”状态的实例执行“一键重装”后的中间状态，该状态为实例执行重装操作系统的过程。重装完成后该实例会变为“关机”。 删除中 中间状态 实例处于正在被删除的状态，用户删除成功将会收到退订短信。 已删除 稳定状态 已删除的实例将从控制台列表显示中移除。此状态不在控制台展示。 已冻结 稳定状态 订购按需计费模式的实例，账号欠费后，云主机进入该状态。完成账号续费后，该状态解除。 已到期 稳定状态 订购包周期计费模式的实例，到期后进入该状态。续订实例后，该状态解除。 错误 稳定状态 在上述任何操作中导致云主机出现错误，则会置为error。 此时可以通过两种方式解决问题： 方式一，请参考帮助文档中[]( 方式二，请提交工单，由技术人员协助解决问题。 包周期退订中 中间状态 控制台对包年包月计费模式的云主机实例执行退订操作后的中间状态，退订完成后该实例变状态为“包周期已退订”。 包周期已退订 稳定状态 订购包周期计费模式的云主机实例，手动退订后，云主机进入该状态。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串 需要进行签名的Header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为Header中的一部分，并且必须是待签名Header里的一个。需要进行签名算法的Header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名。 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制。 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果你加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z 1、先是拿你申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime 2、拿ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据；算出kdate eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) :: Ktime 使用ctyuneopsk作为密钥，eopdate作为数据，算出ktime； Ktime hmacSha256(ctyuneopsk, eopdate) kAk 使用ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； kAk hmacsha256(ktime,ctyuneopak) kdate 使用kAk作为密钥，eopdate的年月日值作为数据；算出kdate； kdate hmacsha256(kAk, eopdate)

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串 需要进行签名的Header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为Header中的一部分，并且必须是待签名Header里的一个。需要进行签名算法的Header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名。 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制。 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果你加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z 1、先是拿你申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime 2、拿ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据；算出kdate eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) :: Ktime 使用ctyuneopsk作为密钥，eopdate作为数据，算出ktime； Ktime hmacSha256(ctyuneopsk, eopdate) kAk 使用ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； kAk hmacsha256(ktime,ctyuneopak) kdate 使用kAk作为密钥，eopdate的年月日值作为数据；算出kdate； kdate hmacsha256(kAk, eopdate)

云产品 日志类型 备注 文本日志 文本日志 容器标准输出 容器文件日志 容器标准输出 容器文件日志 容器实例日志 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 访问日志 命令审计日志 <分布式消息服务Kafka> 重平衡日志 控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志 函数调用日志 云服务操作日志 访问日志 会话日志 Elasticsearch、OpenSearch、Logstash实例日志，包括运行日志（含错误日志）、GC日志、慢索引日志、慢查询日志、Logstash运行日志 集群组件日志 微服务引擎云原生网关 网关访问日志 虚拟私有云VPC 流日志 当前白名单试用中，如有需求请提交工单反馈。 内网DNS DNS解析日志 SDWAN 流日志 当前白名单试用中，如有需求请提交工单反馈。 云安全中心 云堡垒机操作日志； 云防火墙威胁日志； 服务器安全卫士漏洞信息、弱口令、告警日志； 数据库审计日志； Web应用防火墙告警日志； 云等保专区V1.0日志 服务器安全卫士 告警日志 网页防篡改 告警日志

本小节介绍下载并安装Agent，在数据库端或应用端安装Agent。 下载Agent Agent添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要下载Agent的数据库所属的实例。 6. 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图所示。将Agent安装包下载到本地。 请根据安装Agent节点的操作系统类型，选择下载相应的Agent安装包。 Linux操作系统 在“操作系统”为“LINUX64”的数据库中下载Agent安装包 Windows操作系统 在“操作系统”为“WINDOWS64”的数据库中下载Agent安装包 安装Agent（Linux操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Linux操作系统的节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。如果有安装脚本的执行权限，请执行步骤7。如果没有安装脚本的执行权限，请执行以下操作：a.执行以下命令，添加安装脚本执行权限。chmod +x install.shb.确认有安装脚本执行权限后，请执行步骤7。 7. 执行以下命令，安装Agent。sh install.sh 说明 用户系统是Ubuntu时，执行以下命令安装Agent。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 注意 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status，如果界面回显以下信息，说明Agent程序运行正常，audit agent is running。

为保证Web应用防火墙实例的可靠性、可用性和可观测性，对Web应用防火墙进行监控已经成为一种必要且重要的手段。天翼云控制平台提供的Web应用防火墙监控功能，可方便用户更快、更直观的了解Web应用防火墙的运行情况、使用情况及其他性能指标，同时可根据实时监控情况，执行告警通知等操作，帮助客户更好的管理Web应用防火墙实例。 当用户开通Web应用防火墙（原生版）服务后，即可通过云监控来查看监控指标。 说明 目前仅支持监控“一类节点”区域的实例。 实例支持的监控指标 监控指标 指标说明 是否支持告警 监控周期 QPS峰值 该指标用于统计近5分钟内防护域名的QPS峰值。 是 5分钟 QPS均值 该指标用于统计近5分钟内防护域名的QPS均值。 是 5分钟 返回码（2XX） 该指标用于统计测量对象近5分钟内返回的2XX状态码的数量。 是 5分钟 返回码（3XX） 该指标用于统计测量对象近5分钟内返回的3XX状态码的数量。 是 5分钟 返回码（4XX） 该指标用于统计测量对象近5分钟内返回的4XX状态码的数量。 是 5分钟 返回码（5XX） 该指标用于统计测量对象近5分钟内返回的5XX状态码的数量。 是 5分钟 长连接峰值数 该指标用于统计5分钟内长连接峰值数。 是 5分钟 入网带宽的峰值 该指标用于统计近5分钟内防护域名入网带宽的峰值。 是 5分钟 入网带宽的均值 该指标用于统计近5分钟内防护域名入网带宽的均值。 是 5分钟 出网带宽的峰值 该指标用于统计近5分钟内防护域名出网带宽的峰值。 是 5分钟 出网带宽的均值 该指标用于统计近5分钟内防护域名出网带宽的均值。 是 5分钟 防信息泄露次数 该指标用于统计5分钟内WAF对域名防信息泄露防护次数。 是 5分钟 Cookie防篡改次数 该指标用于统计5分钟内WAF对域名Cookie防篡改次数。 是 5分钟 黑白名单防护次数 该指标用于统计5分钟内WAF对域名黑白名单防护次数。 是 5分钟 精准访问防护次数 该指标用于统计5分钟内WAF对域名精准访问防护次数。 是 5分钟 Web入侵防护次数 该指标用于统计5分钟内WAF对域名Web入侵防护次数。 是 5分钟 攻击次数 该指标用于统计5分钟内域名被攻击次数。 是 5分钟 总带宽 该指标用于统计5分钟内请求域名总带宽。 是 5分钟 请求次数 该指标用于统计5分钟内域名总请求次数。 是 5分钟

本文介绍数据采集常见问题。 云日志服务可以采集哪类日志？ 云主机应用日志。容器应用日志，包括容器标准输出日志与文件日志。 如何在云主机上安装采集器？ 云日志服务控制台提供采集器安装命令，您需要在目标云主机中执行该命令安装采集器。详情请查看采集器安装。 配置数据采集时支持哪种分词方式？ 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是 PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 tempbuffers，临时表缓冲区。 workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭CPU 的节能模式。 关闭NUMA。 建议使用UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本文主要介绍Logging handler SDK使用方法。 Python logging handler概述 Python logging 模块提供了一套灵活的日志记录系统，允许开发者在应用程序中记录不同级别的消息，如调试信息、警告、错误等。使用Python SDK提供的logging Handler可以使Python程序在日志在不落盘的情况下自动上传到日志服务上，这种上传方式具有实时性、异步性、吞吐量大、配置简单等特点。使用这部分功能，只需要配置handler目录下的logging.ini 内的几个关键配置即可直接使用。 使用步骤 1、安装ctyunltspythonsdk:1.10.0，目录中包含ctyunltspythonsdk1.10.0.tar.gz。 plaintext pip install ctyunltspythonsdk1.10.0.tar.gz 如果安装失败，可单独安装requirementspy3.txt，详情可参考python SDK 概述2.2下载和安装。 plaintext pip install r requirementspy3.txt 2、修改handler 中的 logging.ini 中的自定义配置，里面包含了与日志上传服务相关的5个参数，这和使用SDK上传日志类似。 plaintext ;替换下面5个参数 args('your endpoint','your accesskey','your secretkey', 'logproject', 'logunit',) 3、执行example/samplelogginghandler.py 示例即可。 logging.ini 配置 在用例中自定义配置了三种handler ：consoleHandler、asyncHandler、syncHandler。 1、consoleHandler的配置中classStreamHandler，这代表会将logger 日志输出到控制台。 2、syncHandler 配置中的 classhandler.AsyncHandler，这代表handler 将会去使用SyncHandler 类的配置进行日志上传，这个类使用的是同步单线程将logger 的日志上传到云日志服务中。 3、asyncHandler配置中的 classhandler.AsyncHandler，这代表handler 将会去使用AsyncHandler 类的配置进行日志上传，这个类使用的是异步批量多线程方式将logger 的日志上传到云日志服务中。 用户使用这个功能的时候，需要修改handler 中的args 配置。里面包含了与日志上传服务相关的5个参数，这和使用SDK上传日志类似。 plaintext ;替换下面5个参数 args('your endpoint','your accesskey','your secretkey', 'logproject', 'logunit',) ;使用环境变量 ;args(os.environ.get('LTSENDPOINT', '',),os.environ.get('LTSACCESSKEY', ''), os.environ.get('LTSSECRETKEY', ''),os.environ.get('LTSLOGPROJECT', ''), os.environ.get('LTSLOGUNIT', '')) 当然如果对安全性要求较高，强烈建议不要将明文accesskey 和 secretkey 写在logging.ini配置中，代替使用系统变量存放。可使用args(os.environ.get('LTSENDPOINT', '',)获取系统变量。 plaintext [loggers] keysroot,synclogging,asynclogging [handlers] keysconsoleHandler, asyncHandler,syncHandler [formatters] keysconsoleFormatter,ltsFormatter [loggerroot] levelDEBUG handlersconsoleHandler [loggerasynclogging] levelINFO handlersconsoleHandler,asyncHandler qualnameasynclogging propagate0 [loggersynclogging] levelINFO handlersconsoleHandler,syncHandler qualnamesynclogging propagate0 [handlerconsoleHandler] classStreamHandler levelDEBUG formatterconsoleFormatter args(sys.stdout,) [handlerasyncHandler] classhandler.AsyncHandler formatterltsFormatter ;替换下面5个参数 args('your endpoint','your accesskey','your secretkey', 'logproject', 'logunit',) [handlersyncHandler] classhandler.SyncHandler formatterltsFormatter ;替换下面5个参数 args('your endpoint','your accesskey','your secretkey', 'logproject', 'logunit',) [formatterconsoleFormatter] format%(asctime)s %(name)s %(levelname)s %(message)s [formatterltsFormatter] format%(asctime)s %(levelname)s %(threadName)s %(filename)s[line:%(lineno)d] %(message)s

版本功能列表 下表描述了WAF主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 防护 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 WebSocket防护 支持防护使用WebSocket协议的网站。 √ √ √ √ √ 业务接入 智能负载均衡 通过智能调度，实现网络自动容灾的高可靠性，提供智能路由选路+缓存能力，满足用户"加速"需求。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 √ √ √ √ √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 支持IP、URI、METHOD、PATH字段 支持IP、URI、METHOD、PATH、IP段、区域字段 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 √，10条/域名 √，20条/域名 √，50条/域名 √，100条/域名 √，200条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √ √ √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 √ √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 基础安全防护 特殊字符拦截 若请求的URI携带特殊字符，支持对其请求进行防护 × √ √ √ √ 业务安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 业务安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × × × √ √ 业务安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × × √ √ 业务安全防护 广告防护 实现广告防护和监测功能。 × × × × √ 业务安全防护 账户安全 支持防护暴力破解、批量注册。 × √ √ √ √ 业务安全防护 防web挖矿 防止占用用户终端设备的系统资源和网络资源进行挖矿。 × × × × √ 业务安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 业务安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 业务安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 业务安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 √ √ √ √ √ 产品服务 监控告警 支持自定义监控告警。 × √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串 需要进行签名的Header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为Header中的一部分，并且必须是待签名Header里的一个。需要进行签名算法的Header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名。 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制。 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果你加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z 1、先是拿你申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime 2、拿ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据；算出kdate eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) :: Ktime 使用ctyuneopsk作为密钥，eopdate作为数据，算出ktime； Ktime hmacSha256(ctyuneopsk, eopdate) kAk 使用ktime作为密钥，你申请来的ctyuneopak数据，算出kAk； kAk hmacsha256(ktime,ctyuneopak) kdate 使用kAk作为密钥，eopdate的年月日值作为数据；算出kdate； kdate hmacsha256(kAk, eopdate)

参数 参数 描述 n LUNNAME 或name LUNNAME 指定克隆卷名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 s SNAPSHOTNAME 或snapshot SNAPSHOTNAME 指定克隆卷关联的快照名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 t TARGETNAME 或 target TARGETNAME 指定克隆卷关联的iSCSI target名称，可以跟源卷的iSCSI target不同。 取值：字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 说明 创建卷时，如果指定的iSCSI target名称不存在，那么同时创建iSCSI target，新创建iSCSI target的回收策略默认为Delete。 p CAPACITY 或 capacity CAPACITY 指定克隆卷的容量。 取值：整数形式，数字后面可以输入单位简写G/g、T/t或P/p，分别代表GiB、TiB、PiB，如果不输入，默认为GiB。 如果单位是GiB，取值为[1, 1048576]。 如果单位是TiB，取值为[1, 1024]。 如果单位是PiB，取值为1。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 priority SERVERID & 指定克隆卷主备分布优先级的服务器ID（仅集群版支持），系统会根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 前置条件：iSCSI target名称已经存在，且指定的服务器必须是iSCSI target所在的服务器。 autofailback AUTOFAILBACK 是否根据指定的克隆卷主备分布优先级自动进行主备切换（仅集群版支持），即针对克隆卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 默认值为Enabled。 pool POOL 指定存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 cachepool CACHEPOOL 指定缓存存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 a HIGHAVAILABILITY或 ha HIGHAVAILABILITY 指定克隆卷的高可用类型（仅集群版支持）： 取值： ActiveStandby（as）：启用主备，该卷关联对应target下的所有IQN。 Disabled（off）：不启用主备，该卷关联对应target下的1个IQN。客户端连接该类型的卷的方法可以参见Windows 客户端–单机版、Linux 客户端 – 单机版。 默认值为源卷的高可用类型。 c LOCALSTORAGECLASS 或 localstorageclass LOCALSTORAGECLASS 指定克隆卷的冗余模式（仅集群版支持）。 注意 如果设置了克隆卷的minreplica MINREPLICA 或redundancyoverlap REDUNDANCYOVERLAP，则必须同时指定该参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N +M：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为源卷的卷冗余模式。 说明 以下场景均为集群可用的前提下： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 minreplica MINREPLICA 指定克隆卷的最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 注意 如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的最小副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 redundancyoverlap REDUNDANCYOVERLAP 指定克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的折叠副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 ecfragmentsize ECFRAGEMENTSIZE 指定克隆卷的纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 o SECTORSIZE 或 sectorsize SECTORSIZE 指定克隆卷的扇区大小。 取值：512、4096，单位是bytes。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4 KiB，则推荐选择4096；单次I/O操作的数据大小接近512 bytes，则推荐选择512。如果对接VMware等虚拟化平台，则推荐选择512 bytes。 w WRITEPOLICY 或 writepolicy WRITEPOLICY 克隆卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 P PATH 或 path PATH 指定存储克隆卷数据的数据目录（仅单机版支持）。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 如果创建克隆卷时不指定数据目录，默认与源卷配置保持一致。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

私有对象 URL格式 通过SDK的generatepresignedurl预签名接口，生成指定对象的getobject访问权限，然后在其生成的URL后面拼接图片处理请求。URL格式为： xzosprocessimage/：固定参数，表示该请求是图片处理相关请求。 action,paramvalue：图片处理的操作（action）、参数（param）和值（value），用于定义图片处理的方式。多个操作以正斜线（/）隔开，操作后的不同参数通过逗号（，）隔开，参数后接下划线（）并拼接参数具体的值。ZOS按图片处理参数的顺序处理图片。例如，“image/resize,p30/rotate,90”表示将图片先按比例缩放至原图的30%，再将图片旋转90°。支持的参数，请参见图片处理参数。 示例 awk 上述请求为对bucket桶中的mypic.jpg图片对象进行缩放和旋转操作：首先将图片缩放为500 px500 px，然后再将其旋转180°。 注意 当前拼接请求操作仅支持v2认证方式，v4认证方式拼接URL后会导致请求失败。具体SDK预签名方式参考对应的SDK 通过SDK处理图片 操作场景 您可以通过在SDK中添加参数的方式来处理图片。 示例 以java为例，介绍了图片处理的简单使用方式，更多语言的图片处理SDK请参考开发者文档。 java import com.amazonaws.ClientConfiguration; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.auth.AWSStaticCredentialsProvider; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.client.builder.AwsClientBuilder; import com.amazonaws.services.s3.AmazonS3; import com.amazonaws.services.s3.AmazonS3ClientBuilder; import com.amazonaws.Protocol; import com.amazonaws.services.s3.model.GetObjectRequest; import com.amazonaws.services.s3.model.S3Object; import java.io.; import java.util.Base64; public class picturedemo { // 访问凭证，填写用户的AK与SK public static String ACCESSKEY "ACCESSKEY"; public static String SECRETKEY "SECRETKEY"; // endpoint为控制台域名信息中的终端节点 public static String ENDPOINT "ENDPOINT"; // 填写桶名 public static String BUCKETNAME "BUCKETNAME"; // 填写待操作图片对象完整路径 public static String OBJKEY "OBJKEY"; // 填写处理后图片对象待保存至本地的路径 public static String SAVEPATH "./test.png"; public static void main(String[] args) { AmazonS3 s3Client; // 当使用HTTPS协议且采用自签名认证时，需关闭证书检查 // System.setProperty("com.amazonaws.sdk.disableCertChecking", "true"); // 使用凭据和配置建立连接 AWSCredentials credentials new BasicAWSCredentials(ACCESSKEY, SECRETKEY); ClientConfiguration awsClientConfig new ClientConfiguration(); // 使用V2签名时，采用"S3SignerType" awsClientConfig.setSignerOverride("S3SignerType"); // 使用V4签名时，采用"AWSS3V4SignerType" // awsClientConfig.setSignerOverride("AWSS3V4SignerType"); // 连接默认使用HTTPS协议，使用HTTP协议连接时需要显式指定 awsClientConfig.setProtocol(Protocol.HTTP); s3Client AmazonS3ClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(credentials)) .withClientConfiguration(awsClientConfig) .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration(ENDPOINT, "")) .disableChunkedEncoding() .build(); GetObjectRequest request new GetObjectRequest(BUCKETNAME, OBJKEY); // 图片处理具体操作，将图片在(10,10)处裁剪300200大小的矩形，再旋转90° String imageop "image/crop,w300,h200,x10,y10/rotate,90"; request.setZosProcess(imageop); S3Object result s3Client.getObject(request); System.out.print("request successn"); // 将下载的图片保存到本地 try { InputStream in result.getObjectContent(); File outputFile new File(SAVEPATH); FileOutputStream outputStream new FileOutputStream(outputFile); byte[] readbuf new byte[1024 1024]; int readlen 0; while ((readlen in.read(readbuf)) > 0) { outputStream.write(readbuf, 0, readlen); } in.close(); outputStream.close(); } catch (IOException e){ e.printStackTrace(); } } }

本文主要介绍Helm v2与Helm v3的差异及适配方案。 随着Helm v2 发布最终版本Helm 2.17.0，Helm v3 现在已是 Helm 开发者社区支持的唯一标准。为便于管理，建议用户尽快将模板切换至Helm v3格式。 当前社区从Helm v2演进到Helm v3，主要有以下变化： 1. 移除tiller Helm v3 使用更加简单和灵活的架构，移除了 tiller，直接通过kubeconfig连接apiserver，简化安全模块，降低了用户的使用壁垒。 2. 改进了升级策略，采用三路策略合并补丁 Helm v2 使用双路策略合并补丁。在升级过程中，会对比最近一次发布的chart manifest和本次发布的chart manifest的差异，来决定哪些更改会应用到Kubernetes资源中。如果更改是集群外带的（比如通过kubectl edit），则修改不会被Helm识别和考虑。结果就是资源不会回滚到之前的状态。 Helm v3 使用三路策略来合并补丁，Helm在生成一个补丁时，会考虑之前老的manifest的活动状态。因此，Helm在使用老的chart manifest生成新补丁时会考虑当前活动状态，并将其与之前老的 manifest 进行比对，并再比对新的 manifest 是否有改动，并进行自动补全，以此来生成最终的更新补丁。 详情及示例请见Helm官方文档： 3. 默认存储驱动程序更改为secrets Helm v2 默认情况下使用 ConfigMaps 存储发行信息，而在 Helm v3 中默认使用 Secrets。 4. 发布名称限制在namespace范围内 Helm v2 只使用tiller 的namespace 作为release信息的存储，这样全集群的release名字都不能重复。Helm v3只会在release安装的所在namespace记录对应的信息，这样release名称可在不同命名空间重用。应用和release命名空间一致。 5. 校验方式改变 Helm v3 对模板格式的校验更加严格，如Helm v3 将chart.yaml的apiVersion从v1切换到v2，针对Helm v2的chart.yaml，强要求指定apiVersion为v1。可安装Helm v3客户端后，通过执行helm lint命令校验模板格式是否符合v3规范。 适配方案 ：根据Helm官方文档 v3模板，apiVersion字段必填。 6. 废弃crdinstall Helm v3删除了crdinstall hook， 并用chart中的crds目录替换。需要注意的是，crds目录中的资源只有在release安装时会部署，升级时不会更新，删除时不会卸载crds目录中的资源。若crd已存在，则重复安装不会报错。 适配方案 ：根据Helm官方文档 当前可使用crds目录或者将crd定义单独放入chart。考虑到目前不支持使用Helm升级或删除CRD，推荐分隔chart，将CRD定义放入chart中，然后将所有使用该CRD的资源放到另一个 chart中进行管理。 7. 未通过helm创建的资源不强制update，releaes默认不强制升级 Helm v3强制升级逻辑变化，不再是升级失败后走删除重建，而是直接走put更新逻辑。因此当前CCE release升级默认使用非强制更新逻辑，无法通过Patch更新的资源将导致release升级失败。若环境存在同名资源且无Helm V3的归属标记app.kubernetes.io/managedby: Helm，则会提示资源冲突。 适配方案 ：删除相关资源，并通过Helm创建。 8. Release history数量限制更新 为避免release 历史版本无限增加，当前release升级默认只保留最近10个历史版本。 更多变化和详细说明请参见Helm官方文档 Helm v2与Helm v3的区别： Helm v2如何迁移到Helm v3：

参数名 参数说明（导入DLI/POSTGRESQL/DWS/MRSHIVE类型的表） 所属主题 需填写已有的主题的编码路径，以/分隔。如果您未新建主题信息，请参见 逻辑实体名称 表名称，只能包含中文、英文字母、数字、左右括号、中划线和下划线，且以中文和英文字母开头。 表名称 表英文名称，只能包含英文字母、数字、下划线、$、{、}，且不能以数字开头。 表别名 用户在配置中心打开了“表别名”时显示此项，名称别名。 表级标签 给表添加的标签，请输入已有的标签或新的标签名称。您也可以先前往DataArts Studio数据目录模块的“标签管理”页面添加标签，然后再回到此处设置相应的标签。添加标签的具体操作，请参见 描述 表的描述信息。 资产责任人 需输入DataArts Studio实例当前工作空间中的用户名。只有工作空间管理员或开发者、运维者角色的用户才可以设置为责任人。 数据连接类型 支持以下连接类型：DLI、POSTGRESQL、DWS、MRSHIVE。 表类型 DLI模型的表支持以下表类型： Managed：数据存储位置为DLI的表。 External：数据存储位置为OBS的表。当“表类型”设置为External时，需设置“OBS路径””参数。 DLIVIEW：该类型只支持导入，不支持在控制台页面创建。 DWS模型的表支持以下表类型： DWSROW：行类型。 DWSCOLUMN：列类型。 DWSVIEW：视图类型。 MRSHIVE模型的表不支持该参数。 OBS路径 DLI模型的表类型为DLIEXTERNAL时，需填写与表相关联的存放源数据的OBS路径。OBS路径格式如：bucketname/filepath。 数据格式 该参数仅DLI模型的表有效。 表类型为DLIMANAGED的表支持的数据格式有： Parquet、Carbon。 表类型为DLIEXTERNAL的表支持的数据格式有： Parquet、Carbon、CSV、ORC、JSON、Avro。 表所属的数据连接 输入已创建的数据连接名称。 表所属的数据库 输入已创建的数据库名称。 数据连接扩展信息 连接类型为DLI时，输入DLI队列名称。连接类型为DWS或POSTGRESQL时，输入Schema名称。 属性名称（CHN） 表中的属性字段的中文名称。只能包含中文、英文字母、数字、左右括号、中划线和下划线，且以中文或英文字母开头。 属性名称（ENG） 表中的属性字段的英文名称。只能包含英文字母、数字和下划线，且以英文字母开头。 顺序 属性字段在表中的顺序，从1开始。可以不填，不填时属性字段默认按模板中的顺序在表中排列。 属性描述 属性字段的描述信息。 数据类型 不同的数据连接类型支持的数据类型不一样，请参见 数据长度 对于不定长的数据类型，如果所指定的数据连接类型支持对其指定数据长度，请指定数据长度。 例如，DWS连接类型，如果字段类型为CHAR(10)，需要在“数据类型”中填写“CHAR”，在“数据长度”中填写“10”。 是否分区 填写“Y”表示该字段为分区字段，填写“N”表示不是分区字段。 是否主键 填写“Y”表示该字段为主键，填写“N”表示不是主键。 不为空 填写“Y”表示该字段不为空，填写“N”表示字段允许为空。 引用的数据标准编码 填写需要引用的数据标准的编码，也可以不填。如果未创建数据标准，请参见 属性标签 为属性字段添加的标签，请输入已有的标签或新的标签名称。您也可以先前往DataArts Studio数据目录模块的“标签管理”页面添加标签，然后再回到此处设置相应的标签。添加标签的具体操作，请参见 其他配置 为JSON格式，用于存放表额外配置信息。格式如下：{"optionname1": "value","optionname2": "value"……}例如：{"a1": "100","a2": "30"} 版本号 可选参数。

概述 网关支持将API分组下的API按照OAS2.0和OAS3.0的格式导出，方便用户实现跨账号，跨地域间甚至跨平台的数据迁移。 OpenAPI 规范（OAS），是定义一个标准的、与具体编程语言无关的RESTful API的规范。 导出标准OAS格式的API定义 网关目前支持两种API导出方式 通过分组导出API定义 1. 进入 API 托管 >分组管理 菜单页。 2. 点击 导出API定义 按钮 ,在弹出框中指定导出的数据格式，环境 以及是否需要 导出API网关拓展定义 。 3. 点击导出按钮后浏览器会下载API定义压缩包. 直接批量导出API定义 1. 进入 API 托管 >API管理 菜单页。 2. 批量勾选API后在批量操作 下拉框中点击导出API定义 按钮 ,在弹出框中指定导出的数据格式，环境 以及是否需要 导出API网关拓展定义 。 3. 点击导出按钮后浏览器会下载API定义压缩包. 注意 批量导出API定义时仅支持导出同一个分组下的API API扩展定义字段 如果在导出OAS规范的定义中选择了导出API网关扩展字段，在导出的API定义文件中会添加网关的扩展字段。扩展属性被设计为总是以 "x" 为前缀的模式字段，此字段的值可以是 null、原始类型、数组或对象。可以包含任意有效的 JSON 格式的值。 扩展字段 OAS中位置 说明 类型 xctyunapigatewayapiname Operation API名称 String xctyunapigatewayisantireplay Operation 是否设置防重放攻击 Boolean xctyunapigatewaybackend Operation 后端服务定义 Object xctyunapigatewaycommonparameters Operation 常量参数定义 Object xctyunapigatewaysystemparameters Operation 系统参数定义 Object xctyunapigatewayrequestargumentmode Operation 入参请求模式 String xctyunapigatewayresponsemessages Responses 错误码错误信息 String xctyunapigatewayparameterdemo Parameter 参数定义示例值 String xctyunapigatewaybackendlocation Parameter 后端服务参数映射位置 String xctyunapigatewaybackendname Parameter 后端服务参数映射名称 String xctyunapigatewaysuccessdemo Operation 返回结果示例 String xctyunapigatewayfaileddemo Operation 失败结果示例 String xctyunapigatewayrequestbodyschema Operation 请求body引用的模型名 String xctyunapigatewayrequestbodydescription Operation 请求body内容描述 String 说明 1. 导出OAS2格式的定义时,会导出分组的base path； 2. 每次可以导出的API数量限制为50个API； 3. 分组模型管理里中定义的模型定义如果无法解析，导出的内容中将不包含模型定义； 4. 以API为单位导出时，所有勾选的API会导出到一个文件中； 5. 未勾选导出API网关扩展字段时，导出OAS文件中的OperationId为API定义的请求path和请求method的拼接后的字符串，如“export1ByGET”； 6. 勾选导出API网关扩展字段后，在API网关定义API以外的内容，如绑定的插件、授权的APP、分组的域名、后端服务在各环境上的定义等，均不会被导出。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,帮助您安全的控制 HPFS 服务的访问及操作权限,实现对HPFS的访问控制。 基本概念 并行文件服务HPFS已对接云平台统一身份认证（IAM），支持通过IAM对HPFS的资源进行访问控制管理。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证。详细请查看：术语解释 IAM的相关文档请查看：统一身份认证（一类节点）。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如HPFS的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 操作步骤 创建IAM用户并授权使用HPFS，示例流程 1. 登录天翼云控制台，在右上角点击头像选择“账号中心”，在左侧导航中选择“统一身份认证”，或者直接点击IAM控制台。 2. 在IAM里，左侧导航中点击“用户组”，点击右上角的“创建用户组”。 3. 在“创建用户组”界面，输入用户组名称和描述，单击“确定”，完成用户组创建。用户组是用户的集合，IAM通过用户组功能实现用户的授权。 4. 您需要新建用户或将已创建的用户，加入刚建好的用户组里。在左侧导航窗格中，点击“用户”，点击右上角“创建用户”。 5. 在用户组列表中，单击新建的用户组右侧“查看”，可以检查是否已将用户添加到组中，确认符合预期后，点击“授权”。 6. 选择策略，在右上角“请输入策略名称进行搜索”框内输入“并行”进行搜索，勾选需要授予用户组的资源池级策略，单击“下一步”。并行文件的管理者可以对资源进行创建、扩容、删除等所有操作，并行文件查看者只支持查看资源列表、详情。如您需要更细粒度的权限设置，可通过创建自定义策略来进行授权管理。 7. 由于并行文件在创建资源的是否，需要选择企业项目，所以还需要将用户也添加到企业项目并授权对应权限。在左侧导航窗格中，点击“企业项目”，选择指定的企业项目一般为default，点击右侧“查看用户组”。 8. 在用户组tab页，点击“设置用户组”，然后选择刚创建的用户组。 9. 在加入的用户组右侧操作里，点击“设置策略”，并选择并行文件的对应策略。 10. 完成以上操作后，主账号需要将创建IAM用户时输入的邮箱及密码告知对应的员工，这些员工就可以使用邮箱和密码登录天翼云。如果登录失败，IAM用户可以联系管理员重置密码。对应员工使用IAM用户登录HPFS管理控制台，验证用户权限。

本文的安全最佳实践以在天翼云服务器CTECS上部署 WordPress 为例,详细介绍如何利用天翼云的云服务与安全措施来构建一个既安全又易于管理的 WordPress 环境。 安全设计原则 规定时间内修复已知 OS 安全漏洞，满足安全补丁管理基线；同步配置弱口令检测、病毒查杀、重要文件防勒索及网页防篡改功能。 定期备份关键数据，防意外丢失，确保数据可恢复。 对云硬盘与云数据库存储加密，配置SSL加密数据连接。 集成精细化权限管理、多因子认证及动态访问控制，构建全链路安全防护。 通过逻辑隔离与最小权限访问，阻断威胁横向渗透路径。 部署架构 在云服务器CTECS中部署WordPress使用的安全架构如下。 在部署WordPress过程中需要创建ECS实例和RDS MySQL数据库，本实践针对这两者做的安全配置如下： 弹性云主机实例 1. 通过安全组控制 CTECS 实例的出入流量安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。关于安全组的使用请参考：安全组概述。 2. 使用云硬盘快照策略对云硬盘进行周期性备份天翼云云硬盘快照是一种数据备份方式，云硬盘快照服务可以备份或者恢复整个云硬盘的数据，常用于数据备份、制作镜像、应用容灾等。关于云硬盘快照的使用请参考：云硬盘快照策略。 3. 使用 KMS 加密数据密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。更多信息，请见云硬盘加密概述。 4. 使用 IAM 授权获取访问凭证统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。更多信息，请参见产品定义。 5. 使用服务器安全卫士进行防护服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。更多信息，请参见产品简介。 关系型数据库MySQL版 1. 使用 SSL 数据加密SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。更多信息，请参考设置SSL数据加密。 2. 使用 IAM 身份认证关系数据库MySQL版支持CTIAM身份认证和多种访问控制，多维度保障您云数据库的安全。更多信息，请参考主子账号和IAM权限管理。

本文主要介绍云日志服务的日志接入概述。 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 日志源接入 目前支持接入天翼云弹性云主机以及云容器引擎日志接入。 弹性云主机：支持采集云主机文本日志，将弹性云主机待采集日志的路径配置到日志单元中，采集器将按照配置的采集规则采集日志至云日志服务。接入详情请参考接入云主机文本日志。 云容器引擎：支持采集云容器引擎的标准输出日志与文件日志。接入详情请参考接入云容器引擎应用日志。 日志结构化解析 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。