本节主要介绍NAT64服务组成、产品特性、应用场景和使用限制。 NAT64服务可实现公网IPv6和公网IPv4的网络地址和协议转换，为部署在IPv4网络环境下的业务提供IPv6访问能力，支持通过 IPv6 网络侧用户发起连接访问 IPv4 网络侧的资源。 NAT64实例创建成功后，可以自主添加多个公网IP，快速进行NAT64转换，为原有的服务提供对应的IPv6访问能力。可以在一个NAT64实例中按需配置多个NAT64转换关系，同时还提供了细粒度的IP黑白名单能力，保证网络安全。 产品特性 NAT服务转换，每个公网IPv4地址在做NAT64后会有一个唯一的公网IPv6地址。 快速部署，只需要把已有的公网IPv4做NAT64映射，即可实现业务的IPv6访问能力。 支持添加白名单或者黑名单实现访问控制。 应用场景 部署在云上的服务，其通过对公网IPv4地址做NAT64后，原有的服务可以同时为IPv4和IPv6网络提供服务访问能力。 使用限制 限制 说明 IPv4公网地址 当前支持的IPv4公网地址为云上的公网IP。 单向访问 在做NAT64后，只支持从公网单向访问转换后的IPv6地址。

参数名称 说明 取值样例 名称 您可以自定义审计范围的名称。 audit00 数据库名称 选择待添加审计范围的数据库。 dbss 数据库账户 可选参数。输入数据库的用户名。 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 源端口 可选参数。输入访问待审计数据库的端口。

开启防护 基础版/企业版/旗舰版 您可以为已购买的服务器开启基础版/高级版/企业版/旗舰版安全防护，开启后按照已购买版本所提供的能力对服务器进行安全防护。 操作须知 开启防护需要足够的防护配额，若提示配额不足，企业版可选择按需模式，其他版本需购买配额后再进行开启操作，主机防护配额购买详情请参见 购买主机安全防护配额，容器安全配额购买详情请参见购买容器安全配额。 检测周期 主机防护每日凌晨会进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能查看检测结果，或者立即执行手动检测。 前提条件 已购买的服务器已正常安装Agent且“Agent状态”为“在线”、“防护状态”为“未防护”。 约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH帐户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截帐户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截帐户暴力破解的攻击源IP。

开启防护 基础版/企业版/旗舰版 您可以为已购买的服务器开启基础版/高级版/企业版/旗舰版安全防护，开启后按照已购买版本所提供的能力对服务器进行安全防护。 操作须知 开启防护需要足够的防护配额，若提示配额不足，企业版可选择按需模式，其他版本需购买配额后再进行开启操作，主机防护配额购买详情请参见 购买主机安全防护配额，容器安全配额购买详情请参见购买容器安全配额。 检测周期 主机防护每日凌晨会进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能查看检测结果，或者立即执行手动检测。 前提条件 已购买的服务器已正常安装Agent且“Agent状态”为“在线”、“防护状态”为“未防护”。 约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH帐户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截帐户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截帐户暴力破解的攻击源IP。

本节主要介绍如何使用API设置远程协助。 此操作用来设置远程协助。 请求语法 plaintext PUT /rest/v1/system/config/remoteAccess HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "serverId": serverId, "status": status, "host": host, "port": port } 请求参数 名称 类型 描述 是否必须 serverId String 服务器ID。 如果不指定，默认设置当前被请求的服务器。 否 status String 是否启用远程协助。 取值： Enabled：启用。 Disabled：禁用。 是 host String 远程协助的服务端IP或域名。 说明 请联系软件供应商获取host信息。 除下列情况host必填外，其他情况选填： 如果启用远程协助时，此项在服务端没有保存过。 如果设置远程协助时，输入了具体的端口号。 否 port Integer 远程协助的端口。 说明 请联系软件供应商获取端口号。 取值：[1,65535]，默认18100。 否 响应结果 名称 类型 描述 code Integer 远程协助码，6位数字。 host String 远程协助的服务端IP。 port Integer 远程协助端口。 请求示例 设置远程协助。 plaintext PUT /rest/v1/system/config/remoteAccess HTTP/1.1 Date: Thu, 17 Mar 2022 09: 20: 16 GMT ContentType: application/json; charsetutf8 ContentLength: 113 Host: 192.168.0.121: 1443 Authorization: HBlock userName:signature { "serverId": "hblock1", "status": "Enabled", "host": "182.151.21.174", "port": 18100 }

2）手动安装drnode 使用条件 1. 特殊情况下无法使用自动安装时，可通过手动安装drnode。 操作步骤 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择资源所在区域。 3. 在服务列表选择“网络”“VPC终端节点”，进入网络控制台。 4. 点击右上角“创建终端节点”按钮，进入创建VPC终端节点页面。 5. 在进行节点添加之前，需要把云主机所在的VPC，进行终端节点连接配置，截图如下： 服务类型选择“按服务实例ID查找服务”。其中，可用服务处填写MDR在不同资源池内的代理VPC终端节点服务ID（为MDR侧提供固定ID，不同资源池ID不同）。不同资源池对应的代理VPC终端节点服务ID如下： 资源池名称 终端节点服务ID 华东1 endpserbjs8nmhm5m 西南1 endpserfnc13o1uao 华南2 endpserx6xhocvz79 西南2 endpserikzxim4cpv 华北2 endpserlmmnp90xgx 芜湖4 endpserhhv2cvk6nn 长沙42 endpser03ir9kxpyz 虚拟私有云选择需要添加的ECS节点所在的VPC。 注意：此链接对于租户侧不收费，费用都在终端节点服务端侧（MDR）结算。 6. 租户配置终端节点成功后，点击详情页可查看节点IP。此节点IP就是后续安装drnode客户端时，需要进行配置填写的IP。 场景2：云下、其他 1. 云下或者其他场景，需要联系技术专家针对客户实际场景进行方案解决。 2. 主要网络打通方案参考： 1. 云下通过公网与MDR打通 2. 云下通过专线 3. 云下通过VPN 4. 云下通过SDWAN 步骤二：安装drnode客户端 安装部署主要针对安装drnode操作进行详细介绍，不同系统下drnode安装方式不同，可根据当前系统查看安装步骤。 1） RHEL/CentOS/SUSE/AlmaLinux/KylinOS/UnionTechOS/openEuler系统安装drnode节点 1. drnode客户端安装 1. 修改服务器hosts，新增VPCE的节点IP及其主机名（固定值，为nodeproxymdr）。 执行命令参考：vi /etc/hosts，输入i进入编辑模式。 添加或修改条目来映射域名到IP地址：VPCE节点IP nodeproxymdr。 其中，VPCE节点IP为步骤一、网络配置中6）中的节点IP。 保存并退出：如果使用的是nano，可以通过按下Ctrl + O来保存更改，然后按Enter确认，最后按Ctrl + X退出。如果使用的是vim，可以通过输入:wq然后按Enter来保存并退出。 2. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 3. 将drnode安装包下载至服务器，MD5完整性校验通过后（linux命令参考：md5sum 文件名），执行节点安装包的安装命令参考：rpm ivh drnode包名.rpm。 说明 如果系统是最小安装的，将会提示缺少zip, unzip, psmisc等3个软件包，可以在操作系统ISO里找到对应的rpm包进行安装，或者使用yum安装。安装命令：yum install y zip unzip psmisc。 如果出现“error：Failed dependencies”相关提示，可检查安装包版本与服务器操作系统是否匹配。 4. 出现以下提示后安装完成：drnode is installed successfully. 5. 提示成功安装完成后，检查是否安装成功，需要确认进程是否开启。命令参考：service drnode status。 6. 确认当前drnode版本号信息是否与安装包名的版本保持一致。命令参考：rpm qa grep drnode。 2. 客户端网络配置 1. linux命令参考：/usr/drbksoft/drnode/bin/drcfg c。此处需要输入MDR代理网络的域名（天翼云内：nodeproxymdr， 云下/它云：需用户输入）： 2. 查看ID命令参考：cat /usr/drbksoft/drnode/etc/drid.conf。 说明 图中id用于步骤四、开启数据保护时填写【认证码】时使用。 2）Windows安装drnode节点 1. drnode客户端安装 1. 修改服务器hosts，新增VPCE的节点IP及其主机名（固定值，为nodeproxymdr）。 1. 打开文件资源管理器，导航到以下路径：C:WindowsSystem32driversetc。 2. 添加或修改条目来映射域名到IP地址：VPCE节点IP nodeproxymdr；其中，VPCE节点IP为步骤一、网络配置中6）中的节点IP。 3. 保存后，完成hosts修改。 2. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 3. 双击安装.exe程序。 4. 对于整机保护使用场景，如果要使用块复制功能，则必须安装块复制驱动。展开自定义安装项，确保勾选“加载块驱动”。 5. 安装类型选择“企业版”，然后根据安装向导完成drnode安装。 6. 如果选择了安装块复制驱动，使用管理员身份运行cmd，检查驱动运行状态，命令参考：sc query dhook。 7. 安装完成后，检查是否安装成功：进入计算机管理→服务，确认服务是否已启动，默认为启动状态。 8. 确认当前drnode版本号信息是否与安装包名的版本保持一致：控制面板→程序→程序和功能，可以查看当前软件的版本号。 2. 客户端网络配置 用户可通过两种方式进行配置： 1. 命令行方式 1. 打开Windows cmd命令行，CD到安装目录的bin文件夹下，命令参考：drcfg.exe c。 2. 此处需要输入MDR代理网络的域名（天翼云内：nodeproxymdr， 云下/它云：需用户输入）。 3. 查看认证码ID：进入安装目录下的/etc/drid.conf可查看，或者参考下方3.查看或重新生成认证码。 2. 页面方式 1. 进入软件页面，点击右上角“ProxySetting”，可查看id等相关信息。 3. 查看或重新生成认证码： 点击客户端右上角“设置”“代理设置”，可查看或重新生成认证码。 3）Ubuntu Server 18.04 64 位版本安装drnode节点 1. drnode 客户端安装 1. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 2. 将drnode安装包上传到服务器，MD5完整性校验通过后（ linux命令参考： md5sum 包名），执行节点安装包的安装命令，命令参考：sudo dpkg i drnode包名.deb。 3. 出现以下提示后安装完成：drnode is installed successfully。 4. 提示成功安装完成后，检查是否安装成功，需要确认进程是否开启，命令参考：service drnode status。 2. 客户端网络配置：与 RHEL/CentOS/SUSE/AlmaLinux/KylinOS/UnionTechOS/openEuler系统安装drnode节点的网络配置步骤相同。

字段 类型 必选 说明 Name string no 匹配字段名称 RegexMatch string no 正则匹配，对头部和query匹配生效 ContainsMatch string no 包含匹配，对头部和query匹配生效 ExactMatch string no 精确匹配，对头部、query和IP匹配生效 PrefixMatch string no 前缀匹配，对头部和query匹配生效 SuffixMatch string no 后缀匹配，对头部和query匹配生效 PresentMatch bool no 存在匹配，仅对头部匹配生效，如果为true，目标头部存在则匹配 InvertMatch bool no 反向匹配，基于前面的匹配结果取反作为最终匹配的结果 MatchSource string no 匹配数据源，支持HEADER，QUERY、IP

字段 类型 必选 说明 principals string No 匹配请求源端的SPIFFE信息，需要开启mTLS。 notPrincipals string No 反向匹配请求源端的SPIFFE信息。 requestPrincipals string No 匹配请求源jwt信息，格式为ISS/SUB，需要开启RequestAuthentication策略。 notRequestPrincipals string No 反向匹配请求源jwt信息。 namespaces string No 匹配请求源的命名空间，需要开启mTLS。 notNamespaces string No 反向匹配请求源的命名空间。 ipBlocks string No 匹配请求源的ip。 notIpBlocks string No 反向匹配请求源的ip。 remoteIpBlocks string No 匹配请求的XForwardedFor头部。 notRemoteIpBlocks string No 反向匹配请求的XForwardedFor头部。

本文介绍状态码内容。 1、请求状态码 正常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 2、全局请求返回错误码 错误码 描述 10002 生成签名时官网ak信息错误 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足 CTAPI0009 传入的body不符合json格式

参数名 说明 源站类型 可选择IP或域名/媒体存储源站/对象存储源站。媒体存储源站和对象存储源站不可同时配置，且只能配置一个媒体存储源站/对象存储源站。 源站 即源站地址，支持IP或域名。 层级 支持主或备。 权重 即回该源站的权重值。 指定源站回源HOST 回源HOST决定了回源请求访问到源站的哪个站点。当不同源站使用不同回源HOST时，需通过“指定源站回源HOST”进行设定。 操作 可删除源站配置。

本文主要介绍主机组管理 主机组是一种虚拟分组机制，主要用于对主机进行分类管理和批量配置日志采集。用户可以将多台云主机归入同一主机组，并统一关联到指定的日志采集配置，在配置日志接入时，将会以主机组为单位下发采集配置，方便您对多台云主机日志进行采集。 该机制具有以下优势： 1. 批量操作能力：通过主机组可一次性完成组内所有主机的日志采集配置，避免逐台主机重复设置。 2. 动态扩展性：当新增主机时，只需将其加入现有主机组即可自动继承组内配置。 3. 统一管理 ：修改主机组配置即可实时生效到组内所有主机，确保配置一致性 目前云日志服务支持创建IP类型与自定义标识类型主机组： IP类型：创建主机组时，直接勾选所需采集日志的云主机即可加入该主机组，操作简单。 自定义标识类型：创建主机组时，需要在主机组和主机上分别创建标识，若标识存在交集，则该云主机将会自动加入主机组内。意味着多台云主机可通过同一个自定义标识实现主机组的动态配置。您只需为新增的云主机配置相同的自定义标识，系统将自动识别并将其添加至主机组中。 创建主机组（IP类型） 1. 登录云日志服务控制台。 2. 点击左侧菜单栏主机管理主机组。进入主机组管理页面。 3. 右上角点击【新建主机组】。 4. 在弹出的新建主机组页面中，输入主机组名称，主机组类型选择“IP”，主机类型选择“Linux”或“Windows”。 5. 在云主机列表中勾选需要加入该主机组的云主机，单击“确定”，即可完成主机组的创建。 说明 若云主机列表中没有您所需的云主机，请点击“安装lmtAgent”，在弹出的页面安装指引完成日志采集器安装，具体操作可参考安装lmtagent采集器。

本文为您介绍使用弹性伸缩服务时的相关限制,请您务必仔细阅读后使用。 功能限制 伸缩组内云主机实例会可能根据伸缩组策略、健康检查等机制被自动释放，因此不适合用于存放业务数据、日志等信息。 添加至伸缩组内云主机部署的服务应是无状态且支持横向扩展。 若伸缩组关联负载均衡的主机组被删除，则伸缩组将与该负载均衡自动解绑。 配额限制 每个用户可在单个资源池内使用弹性伸缩的限制如下表所示： 资源 默认配额值 如何升级配额 单个资源池内的伸缩组总数 10 提交工单提升配额 单个资源池内伸缩配置总数 100 提交工单提升配额 单个伸缩组内的伸缩策略总数 10 暂不支持提升 单个伸缩组内可关联的最大实例数 50 提交工单提升配额 单个伸缩组可关联的负载均衡数 10 提交工单提升配额 单个伸缩组可关联的伸缩配置总数 10 暂不支持提升

如何查找迁移源？ 查找迁移源的步骤如下： 1. 登录对应区域CMS控制台。 2. 单击左侧导航栏，“主机管理”选项卡。 3. 在“主机管理”页面，单击搜索框搜索。 4. 输入搜索项对应的查询值后，单击Enter键。 说明 搜索项包括迁移源别名、迁移源公网IP以及迁移源私网IP。所有搜索项均支持模糊查询。 如何批量导入迁移源？ 批量导入迁移源的步骤如下： 1. 登录对应区域CMS控制台。 2. 单击左侧导航栏，“主机管理”选项卡。 3. 单击“下载导入模板”按钮，下载模板。 4. 填写模板内容。 5. 单击“导入excel”导入迁移源。 6. 单击“导入日志”，查看导入结果。 说明 填写模板EXCEL时，填写内容为：源机别名、源机IP以及目标机ID；其中目标机ID需要单击目标机详情查看。具体操作步骤您可参见 为什么删除迁移源失败？ 迁移源处于“在线”状态下，用户无法在“主机管理”界面删除迁移源。 迁移日志中提示“delete snapshot xx error ！”如何处理？ QGA会影响vss服务，迁移源需要关闭QEMU Guest Agent VSS Provider（QGA）并且禁用。 具体步骤： 1. 快捷键“Win + R”输入 ：services.msc。 2. 找到对应服务关闭并禁用。

本节主要介绍数据迁移类问题 DRS上找不到GeminiDB Redis链路 当前DRS中GeminiDB Redis入云链路采用白名单机制，需要提工单联系DRS同事开通。 报错ERR the worker queue is full, and the request cannot be excecuted 迁移流量过大导致内部队列满，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。 报错ERR the request queue of io thread is full, and the request cannot be excecuted 迁移流量过大导致内部队列满，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。 报错read error, please check source redis log or network 源端发送缓冲区太小，需修改源端redis参数配置，该参数clientoutputbufferlimit可热生效。 报错slavepingthread.ccThreadMain90: error: Ping master error 执行pikaport时指定的IP填写了 127.0.0.1, 需要配置为其它IP，比如eth0的IP。 同步状态正向迁移速度太慢 修改redisshake参数source.rdb.parallel，可调整迁移并发度，默认为0，按db和分片数确定。 同步状态正向迁移速度太快，报错：ERR server reply timeout, some responses may lose, but requests have been executed 修改参数parallel，可调整全量过程传输RDB的并发度，默认为32。

内网出访流量 紫色路径：业务ECS→GWLBE→云防火墙→NAT 网关→互联网。 策略配置原则：“按需放行，禁止无关出访”； 允许策略：仅开放业务必要的出访地址/ 端口（如允许 ECS 访问 OSS 的域名、访问第三方 API 的固定IP）； 拒绝策略：禁止访问高危IP 网段（如已知恶意 IP 库）、禁止 P2P 下载、视频网站等非业务流量。 带宽管控：通过NAT 网关配置带宽上限（如 100Mbps），避免单业务占用过多带宽影响其他服务。 VPC 间互访流量 黄色路径：vpc1/vpc2→云企业路由器→GWLBE→云防火墙→云企业路由器→目标 VPC。 策略配置原则：“按业务关联度放行”； 允许策略：仅开放跨VPC 业务依赖的端口； 拒绝策略：禁止无业务关联的VPC 互访。 VPC 与云专线互访流量 绿色路径：业务 VPC→云企业路由器→GWLBE→云防火墙→云企业路由器→云专线网关→线下网络。 策略配置原则：“双向管控，匹配线下安全策略”； 入访（线下→VPC）：仅允许线下办公网段访问 VPC 的业务端口（如线下财务网段访问 VPC 的 ERP系统端口）； 出访（VPC→线下）：仅允许VPC的业务子网访问线下数据库、文件服务器的必要端口。 加密传输：若传输敏感数据（如用户信息），可在云专线基础上开启IPsec VPN加密，避免数据泄露。

IP黑白名单 支持添加始终拦截与始终放行的黑白名单IP/IP地址段，增强防御准确性。 地域访问控制 支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 防护白名单 针对特定请求忽略某些攻击检测规则，也可用于处理误报事件。支持全局防护白名单、域名级防护白名单。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 攻击惩罚 当配置BOT防护规则、精准访问控制规则时，可启用攻击惩罚。当WAF检测到访问者的IP、Cookie或请求参数中有恶意请求时，WAF将按配置的攻击惩罚时长来自动封禁访问者。 告警通知 支持基于攻击防护事件设置告警通知策略，通过对选定攻击类型范围的事件设置告警阈值，当大于阈值时发送通知给用户群组。

参数 描述 数据流动方向 选择“入云”，即目标端数据库为本云数据库。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“MySQL”。 网络类型 此处以公网网络为示例。可根据业务场景选择公网网络、VPC网络和VPN、专线网络。 目标数据库实例 用户所创建的关系型数据库实例。 说明 目标数据库实例不支持选择只读实例。 目标数据库实例可以和源数据库选择同一个实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 此处以“全量+增量”为示例。 “全量+增量”：该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。说明选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 “增量”：增量同步通过解析日志等技术，将源端产生的增量数据同步至目标端。

实例类型 pi2.2xlarge.4 所在地域 上海7 系统盘 40GB 数据盘 10GB 操作系统 Ubuntu 18.04.5 LTS 公网弹性I P 带宽 5Mbps

源端配置： 数据源类型 选定为Oracle，可迁移版本范围内的Oracle数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 服务名 Oracle数据库的service name CDB服务名 Oracle CDB的service name，当oracle为12C以上版本时需填写该字段，以便迁移过程获取所需的数据库系统信息。 迁移用户名 实际要迁移的Oracle模式（schema），一般与用户名一致。

本文介绍CDN控制台配置的源站域名跟默认回源HOST的区别。 通过CDN控制台添加域名时，【源站设置】中【源站】可以填写域名，【默认回源HOST】也可以填写域名，这两个域名存在如下区别： 源站配置：指您的业务所部署的服务器地址，回源时会访问该服务器地址获取资源。当您配置的源站是域名时，CDN节点会通过公网DNS解析出具体IP地址，并回该IP获取文件。 回源HOST：指CDN回源请求头携带的回源HOST信息，回源请求会访问回源HOST对应的具体站点。如源站服务器IP上存在多个域名站点时，该HOST请求头中的域名将指定访问源站的具体某个站点。 举例： 1. 您配置源站域名为origin.ctyun.cn ，未配置回源HOST，这时回源将回到origin.ctyun.cn解析的IP地址，请求到源站的HOST为用户请求域名，即加速域名。 2. 您配置源站域名为origin.ctyun.cn，回源HOST为test.ctyun.cn，这时回源将回到origin.ctyun.cn解析的IP地址，请求到源站的HOST为test.ctyun.cn。

网络权限配置 网络隔离配置 借助虚拟私有云（VPC）构建隔离的虚拟网络环境，VPC 内可创建子网划分网段，不同 VPC 默认无法内网互通，实现网络层面的基础隔离。同时，可通过安全组、网络 ACL 等措施，进一步限制子网与云主机的出入流量，实现业务间的安全隔离。 搭建安全网络环境 在 VPC 规划上，可按业务单元或安全等级划分 VPC，规划共享服务 VPC 集中部署公共服务。合理设计 CIDR，预留地址空间，通过对等连接等方式实现必要的跨 VPC 互联。在互联网访问方面，部署 NAT 网关作为私有子网访问外网的出口，对需要公网服务的子网配置相应规则。同时，跨可用区部署关键服务与负载均衡，提升网络可用性与安全性。此外，通过安全组与网络 ACL 配置精细的访问控制规则，限制跨 VPC 访问与公网访问范围，保障网络环境安全。 应用防护安全 应用的网络流量攻击防护 使用基础DDoS防御与DDoS高防，天翼云为云主机提供免费 DDoS 基础防护能力，依托资源池网络，在公网 IP 遭受 DDoS 攻击时，能提供一定防护阈值，在阈值内保障 IP 可用。当攻击超出阈值时，为保护资源池整体稳定，IP 会进入封禁状态。若基础防护无法满足需求，用户可选择 DDoS 高防等更高级别防护产品。 应用的漏洞攻击防护 使用Web应用防火墙（原生版）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。

参数 参数说明 参数范围 默认值 log.flush.interval.messages 消息条数刷盘阈值，当实例 broker 接收的消息条数达到阈值时，将触发消息刷盘 1~9223372036854775807 9223372036854775807 min.insync.replicas 当 producer 将 acks 设置为 “all” (或“1”) 时，此配置指定必须确认写入才能被认为成功的副本的最小数量 1~3 1 message.max.bytes kafka 允许的 topic 最大单条消息大小（单位：字节） 0~10485760 10485760 max.connections.per.ip 每个 ip 允许的最大连接数。超过此连接数的连接请求将被丢弃 100~20000 1000 unclean.leader.election.enable 是否能够使不在 ISR 中 replicas 设置用来作为 leader true,false false

本章介绍天翼云关系型数据库各项功能介绍 天翼云关系型数据库RDS for PostgreSQL是托管型数据库，为用户提供的主要功能包括： 支持PostgreSQL（9.5、9.6、10、11、12、13、14） 支持通过内网IP地址及端口访问数据库实例，处在同一VPC内的云主机和数据库实例可相互访问 支持为RDS绑定公网IP，通过公网IP访问数据库实例 支持单机实例、一主一备实例和只读实例（最多5个只读实例） 支持对RDS实例进行CPU/内存、存储空间的扩容 支持根据业务需求指定数据自动备份策略（最多保留7个自动备份），也可进行手动备份及备份恢复 支持对数据库参数的调整 支持查看实例运行的系统资源监控指标，如CPU、内存使用率等，还可查看MySQL数据库指标，如QPS/TPS 支持数据库错误日志及SQL慢日志查询

权威情报数据 借助国内顶尖厂家共同分析的结果，快速构建威胁信誉库，将诸如僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据等网络安全事件及信誉数据同步至本系统，形成联动能力。 权威安全预警 定时同步国家应急响应中心（CNCERT）的漏洞预警、威胁情报、安全资讯数据，及时明晰最新安全信息。 攻击源警告 当系统检测到远端IP地址存在恶意入侵或者探测行为时，可以配置对应的IP进行告警，告警页面的内容可以自定义，当此IP再次连接Web服务时，对其推送告警界面，以做警示。 恶意网站警告 通过国家应急响应中心信誉库自动同步恶意网站数据，在用户访问恶意网站时，给予及时告警，协助用户识别Web威胁，同时运维管理员可自定义添加恶意网站。 安全态势大屏 支持4种态势大屏，包括全局态势大屏、资产态势大屏、脆弱性态势大屏、威胁态势大屏。

本小节主要介绍RDSPostgreSQL的dblink插件使用方法。 操作场景 RDSPostgreSQL支持 dblink插件，可用于跨库操作。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 注意事项 请确保目标数据库的网络与您的数据库实例互通。 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS dblink; 卸载插件 sql DROP EXTENSION IF EXISTS dblink; 使用示例 sql SELECT dblinkconnect('hostaddr port dbname user password '); 注意能够访问的到实例数据库，网络要通。 IP：目标数据库的IP地址。 DBPORT：目标数据库实例的端口。 DBNAME：目标数据库名称。 USERNAME：目标数据库用户名称。 USERPWD：目标数据库用户密码。 常见问题 更多详情请参见dblink官网文档。

参数 数据类型 描述 NODEID VARSTRING DDL Owner节点ID NAME VARSTRING DDL Owner节点名称 IP VARSTRING DDL Owner节点的IP地址 PORT LONG DDL Owner节点的端口号

参数 说明 IP类型 可选择IPV4、IPV6两种不同的网络类型。 目的地址 网络流量传输到的IP地址范围。 下一跳类型 用于传输网络流量的云产品，例如：云主机。 描述 可选项

本文介绍 了不同资源池的DMS服务IP地址,用户使用DMS管理数据库实例前,需要先将DMS服务IP地址配置至数据库实例的白名单中。 配置IP白名单 用户使用DMS管理数据库实例前，需要先将DMS服务IP地址配置至数据库实例的白名单中。 注意 不同地域、不同来源的数据库实例需要配置的DMS服务IP地址不同。 配置DMS服务IP地址至数据库实例白名单 在目标数据库实例中，可以手动配置DMS服务IP地址至数据库实例的白名单。 例如，手动配置DMS服务IP地址至关系型数据库MySQL版的白名单，详见：设置IP白名单。 DMS服务IP地址列表 在目标数据库实例中配置白名单时，建议按照实例来源将对应的DMS服务IP地址配置至实例的安全设置中，详见下表。 地域 云数据库 公网直连 ::: 华东1 33.2.1.0/24 117.89.250.178 上海36 33.2.2.0/24 117.89.250.178 西南1 33.2.0.0/24 117.89.250.178 长沙42 33.2.3.0/24 117.89.250.178 华北2 33.2.3.0/24 117.89.250.178 南昌5 33.2.2.0/24 117.89.250.178 华南2 33.2.0.0/24 117.89.250.178 青岛20 33.2.1.0/24 117.89.250.178 南宁23 33.2.0.0/24 117.89.250.178 郑州5 33.2.0.0/24 117.89.250.178 武汉41 33.2.0.0/24 117.89.250.178 太原4 33.2.0.0/24 117.89.250.178 苏州 33.2.0.0/24 117.89.250.178 广州4 33.2.0.0/16 117.89.250.178 ecx郑州4 198.17.5.0/24 117.89.250.178 ecx北碚1 198.17.5.0/24 117.89.250.178 杭州7 33.2.0.0/24 117.89.250.178 西南2贵州 33.2.0.0/24 117.89.250.178 庆阳2 33.2.0.0/24 117.89.250.178 西安7 33.2.2.0/24 117.89.250.178 北京行业云20 33.2.0.0/24 117.89.250.178 乌鲁木齐7 33.2.0.0/24 117.89.250.178 呼和浩特3 33.2.0.0/24 117.89.250.178 芜湖4 33.2.0.0/24 117.89.250.178 佛山7 33.2.0.0/24 117.89.250.178 香港2 33.2.0.0/24 117.89.250.178 河北张家口IT上云1 33.2.0.0/24 117.89.250.178 印尼1 10.203.3.0/24 117.89.250.178 [ ]

参数名称 参数说明 示例 分组名 实例的白名单分组名称。 每个实例支持创建4组白名单。 DCStest IP地址/地址段 每个实例最多可以添加20个IP地址/地址段。如果有多个，可以用逗号分隔。 不支持的IP和地址段：0.0.0.0和0.0.0.0/0 10.10.10.1,10.10.10.10

应用场景 鲲鹏通用计算增强型弹性云主机适用于对自主研发、安全隐私要求较高的政企金融场景，对网络性能要求较高的互联网场景，对核数要求较多的大数据、HPC场景，对成本比较敏感的建站、电商等场景。

本节介绍了弹性云主机的续订规则。 续订规则详情请见天翼云帮助中心费用中心续订规则说明。 自动续订规则详情请见天翼云帮助中心费用中心续订管理自动续订。

本文简要介绍了前缀列表的基本概念及使用限制。 前缀列表概述 前缀列表是一些网络前缀（即CIDR地址块）的集合，您可以在配置部分资源的网络规则时引用前缀列表，通过前缀列表可以统一管理IP网段或单个IP，简化网络规则配置过程，提升运维管理效率。前缀列表目前仅支持在配置安全组规则时被引用。 基础概念 概念 说明 最大条目容量 前缀列表中CIDR地址块数量的上限。条目由CIDR地址块和相关描述信息组成。 地址族 前缀列表条目的地址族，支持IPv4或IPv6。一个前缀列表中的条目，必须属于同一种地址族。 前缀列表条目 前缀列表包含条目。每个条目包含一个 CIDR 地址块，可以对条目添加描述。 CIDR地址块 CIDR（Classless InterDomain Routing）是互联网中一种新的寻址方式，CIDR采用斜线记法，表示为四部分组成的点分十进制地址，后跟一个斜杠，斜杠后是范围在0到32之间的一个数字，格式为：A.B.C.D/N 。 示例一：CIDR格式换算为IP地址网段，例如10.0.0.0/8，换算为32位二进制地址：00001010.00000000.00000000.00000000。其中/8表示8位网络ID，即32位二进制地址中前8位是固定不变的，对应网段为：00001010.00000000.00000000.00000000~~00001010.11111111.11111111.11111111。则换算为十进制后，10.0.0.0/8表示：子网掩码为255.0.0.0，对应网段为10.0.0.0 ~~10.255.255.255。 示例二：IP地址网段换算为CIDR格式，例如192.168.0.0192.168.31.255，后两段IP换算为二进制地址：00000000.00000000~00011111.11111111，可以得出前19位（82+3）是固定不变的，则换算为CIDR格式后，表示为：192.168.0.0/19。 关联资源 引用前缀列表的资源，目前仅支持安全组规则引用。