本节介绍了初始化数据盘的操作场景、磁盘分区形式等内容。 如果您在创建弹性云主机时添加了数据盘，待登录成功后，需要执行初始化数据盘操作，即格式化云硬盘，之后云硬盘才可以正常使用。 操作场景 磁盘挂载至云主机后，需要登录云主机初始化磁盘，即格式化磁盘，之后磁盘才可以正常使用。 系统盘 系统盘不需要初始化，创建云主机时会自带系统盘并且自动初始化，默认磁盘分区形式为主启动记录分区（MBR, Master boot record）。 数据盘 − 创建云主机时直接创建数据盘，数据盘会自动挂载至云主机。 − 单独创建数据盘，然后将该数据盘挂载至云主机。 以上两种情况创建的数据盘挂载至云主机后，均需要初始化后才可以使用，请您根据业务的实际规划选择合适的分区方式。 磁盘分区形式 常用的磁盘分区形式如下表所示，并且针对Linux操作系统，不同的磁盘分区形式需要选择不同的分区工具。 表 磁盘分区形式 磁盘分区形式 支持最大磁盘容量 支持分区数量 Linux分区工具 主启动记录分区（MBR） 2 TB 4个主分区 3个主分区和1个扩展分区 MBR分区包含主分区和扩展分区，其中扩展分区里面可以包含若干个逻辑分区。扩展分区不可以直接使用，需要划分成若干个逻辑分区才可以使用。以创建6个分区为例，以下两种分区情况供参考：3个主分区，1个扩展分区，其中扩展分区中包含3个逻辑分区。1个主分区，1个扩展分区，其中扩展分区中包含5个逻辑分区。 以下两种工具均可以使用：fdisk工具parted工具 全局分区表（GPT, Guid Partition Table） 18 EB1 EB 1048576 TB 不限制分区数量GPT格式下没有主分区、扩展分区以及逻辑分区之分。 parted工具 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。

参数名称 描述 name 报文的名称，可修改。 httpversion 协议类型。 支持HTTP、HTTPS、TCP和UDP。 当请求类型为HTTP和HTTPS时，设置以下参数。 method 支持GET、POST、PATCH、PUT和DELETE。 returntimeout 发送请求，等待服务器响应的超时时间。 如果不设置此参数，默认响应超时时间为5000ms。 URL 发送请求的URL地址，比如“ headers 由关键字/值对组成，请求头部通知服务器有关于客户端请求的信息，“头域”的说明请参见 报文内容 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。 说明 请求方式为GET时，不支持报文内容。 当请求类型为TCP时，设置以下参数。 说明 TCP类型的报文暂不支持响应提取功能。 IP 发送请求到被测服务器的IP地址。 port 发送请求到被测服务器的端口号。 connecttimeout 发起连接，服务器无响应的超时时间。 returntimeout 连接建立成功，等待响应返回的超时时间。 连接设置 重复使用连接：请求响应完成后，不断开连接，复用连接发送接收下一次请求响应。 关闭连接：每次完成请求响应完成后，断开连接，下一次重新建立连接。 checkendtype 通过返回结束设置，来判断本次请求的响应内容是否已经接收完成。 返回数据长度：设置返回数据的长度，单位字节。当接收到此长度的响应内容时，数据接收完成。 结束符：设置返回数据的结束标记。当接收到结束符时，数据接收完成 。 说明 结束符建议设置一个唯一的结束标记，如果设置的结束符在响应内容中存在多个，当接收到第一个结束符时，就认为响应内容已经接收完成，这样接收的响应数据就不完整。 body 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 内容格式：请根据被测服务器的业务请求内容，选择“字符串”或“16进制码流”。 说明 16进制码流的内容取值范围为“09”和“af”，且总字符个数为双数。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。

扩大带宽是否会对DRS正在进行中的任务产生影响 扩大云连接带宽时需要重建带宽链路，则会导致网络断开，此时是否会对DRS任务产生影响取决于网络断开的时间以及源库IP有没有发生变化。例如针对MySQL引擎而言，如果网络断开1天，而在这1天时间内源库binlog被清理了（MySQL都有binlog清理策略，用户侧自己配置的），就无法进行任务续传，需要重置任务。如果网络中断的时间很短，并且带宽链路更换完成后源库的VPN内的IP地址没有变，则是可以继续续传任务，不会对DRS任务产生影响。 为什么MariaDB和 SysDB下的数据不迁移 由于某些MariaDB的版本把SysDB库作为其系统库（类似于MySQL官方版5.7的sys库），所以DRS默认也将SysDB作为所有MariaDB的系统库来处理（等同于MySQL、informationschema、performanceschema等库）。如果SysDB确实是业务库，您可以通过工单申请处理。 多对一的场景约束及操作建议 因业务需要，不同实例、不同表的数据需要进行合并时，数据复制服务提供的数据迁移支持多对一的场景。 操作建议 为避免创建任务过程中出现空间不足问题，建议提前计算源数据库的数据量总和，根据该总和一次性规划目标实例的磁盘空间，剩余磁盘空间需大于源库实际数据量大小的总和（例如“源系统1”数据量大小为1GB，“源系统2”数据量大小为3GB，“源系统3”数据量大小为6GB，则目标实例的剩余磁盘空间应该大于10GB）。 对于MySQL引擎，目标端参数的设置需要考虑整体资源的提升，建议使用第一个任务的参数对比功能中“常规参数”的“一键修改”（其中maxconnections除外），而“性能参数”应该结合目标端实际规格做相应的手工设置。 对于多对一同步任务场景，由于该场景是一个一个任务逐步创建的，后面创建任务时可能会造成已创建任务的同步阻塞，为了避免这个情况发生，请注意创建技巧。 每个同步任务都会涉及创建索引步骤，而创建索引时数据库可能会导致Schema锁进而阻塞Schema下的其他表的数据同步，从而导致后创建的任务可能在索引创建阶段对已经同步中的任务阻塞一段时间，我们可以选择在创建同步任务最后设置为“稍后启动”，这样设定在业务低峰期后创建任务，从而避免后创建任务的索引创建对已有任务的同步阻塞。 如果涉及表级汇集的多对一同步任务，则不支持DDL，否则会导致同步全部失败。

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

本文为您介绍KMS集成云产品提供服务端加密能力详情。 密钥管理服务（KMS）与云硬盘、对象存储、弹性文件、关系型数据库MYSQL版等产品实现了服务端集成，在使用这些云服务时，可通过密钥管理服务实现对数据的加解密，并集中使用密钥管理服务（KMS）对密钥进行管理。 支持服务端加密的密钥类型 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 云产品 默认密钥 AES256（默认） 用户自行创建 用户主密钥软件 AES256 用户自行创建 用户主密钥硬件 AES256 SM4 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品在每个资源池支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、计划删除、自定义别名等操作。 用户主密钥 云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS服务标准资费进行计费，请您确保账户余额充足，避免因KMS服务冻结导致云产品无法正常调用KMS服务进行加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非未被用于云产品加密，避免删除后导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云产品加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云产品加密使用。若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。

本节介绍了什么是镜像服务、镜像与镜像服务、镜像类型、镜像服务的功能、访问方式。 镜像与镜像服务 镜像是一个包含了软件及必要配置的云主机或物理机模版，包含操作系统或业务数据，还可以包含应用软件（例如，数据库软件）和私有软件。镜像分为公共镜像、私有镜像、共享镜像。 镜像服务（CTIMS, Image Management Service）提供镜像的生命周期管理能力。用户可以灵活地使用公共镜像、私有镜像或共享镜像申请弹性云主机和物理机。同时，用户还能通过已有的云主机或使用外部镜像文件创建私有镜像，实现业务上云或云上迁移。 镜像类型 镜像分为公共镜像、私有镜像、共享镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，共享镜像为其他用户共享的私有镜像。 镜像类型 说明 :: 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 私有镜像 包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 私有镜像包括系统盘镜像、数据盘镜像、ISO 镜像和整机镜像，其中： ● 系统盘镜像：包含用户运行业务所需的操作系统、应用软件的镜像。系统盘镜像可以用于创建云主机，迁移用户业务到云。 ● 数据盘镜像：只包含用户业务数据的镜像。数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 ● ISO 镜像：将外部镜像的ISO文件注册到云平台的私有镜像。ISO镜像是特殊的镜像，只能发放用作临时过渡的云主机。 ● 整机镜像：也叫全镜像，包含用户运行业务所需的操作系统、应用软件和业务数据的镜像。整机镜像基于差量备份制作，相比同样磁盘容量的系统盘镜像和数据盘镜像，创建效率更高。 共享镜像 由其他用户共享而来的私有镜像。

本文介绍如何使用 Windows GPU云主机搭建深度学习环境。 背景信息 实例环境如下表所示。 实例类型 pi2.2xlarge.4 操作系统 Windows Server 2019数据中心版 64位 中文版 CPU 8vCPU 内存 32GB GPU NVIDIA T4 1张 驱动及相关库、软件版本 CUDA11.3.0、Python 3.9、cuDNN8.2.1、PyTorch 1.11.0、TensorFlowgpu2.6.0 说明 如何选择对应版本请参见 操作步骤 步骤一： 创建GPU实例 请参见用户指南​>创建GPU云主机​>创建未配备驱动的GPU云主机，创建GPU云主机实例。 步骤二：安装显卡驱动 1. 登录已创建的GPU云主机，操作参见Windows弹性云主机登录方式概述。 2. 访问 NVIDIA 官网，选择显卡的驱动版本。单击“SEARCH”进入下载页面，单击进行下载。 3. 完成下载后，根据提示完成安装。 步骤三：安装CUDA 1. 访问英伟达官网 CUDA Toolkit Archive，选择对应版本。 2. 进入 CUDA Toolkit 11.3.0 Download 页面，选择对应系统配置。 3. 单击 “Download”，开始下载。 4. 下载完成后，请双击安装包，并根据提示进行安装。 请注意以下步骤： 在弹出的 CUDA Setup Package 窗口中，Extraction path 为暂时存放地址，无需修改，保持默认并单击 OK。 在许可协议步骤中，选择“自定义”并单击“下一步”。 根据实际需求选择安装组件，并单击“下一步”。 完成安装，根据提示重启云主机。

本节主要介绍分布式消息服务Kafka的产品简介 分布式消息服务Kafka 是一个分布式、高吞吐量、高可用的消息队列服务，针对开源的 Kafka 提供全托管服务，解决开源产品长期以来的痛点，用户只需专注于业务开发，无需部署运维，低成本、更弹性、更可靠，广泛用于日志收集、监控数据聚合、流式数据处理、在线和离线分析等大数据领域，是大数据生态中不可或缺的产品之一。 关于Kafka的帮助手册阅读指引 考虑到篇幅的限制，我们提供的Kafka用户手册主要描述了产品相关的信息，以及与开源社区版Kafka的差异，如天翼云Kafka的产品规格、控制台操作、API接口调用，以及客户端对接等方面。 如果您需要了解Kafka的基础入门知识或者消息的生产和消费等技术细节，请查阅Kafka官网资料。 产品架构 Broker：消息中间件处理结点，一个Kafka节点就是一个broker，多个broker可以组成一个Kafka集群。 Topic：主题 一类消息的集合。 Partition：分区，topic物理上的分组，一个topic可以分为多个partition，每个partition是一个有序的队列。 Segment：partition物理上由多个segment组成。 offset：每个partition都由一系列有序的、不可变的消息组成，这些消息被连续的追加到partition中。partition中的每个消息都有一个连续的序列号叫做offset,用于partition唯一标识一条消息。 Producer：消息和数据生成者，一般为应用调用API进行消息生产，并向Kafka的Topic发布消息。 Consumer：消息订阅者，也成为消息消费者，负责向 Kafka Broker 读取消息并进行消费。 Consumer Group：一类Consumer的集合名称，这类Consumer通常消费一类消息，且消费逻辑一致，Consumer Group 和 Topic 的关系是 N：N，同一个 Consumer Group 可以订阅多个 Topic，同一个 Topic 也可以被多个 Consumer Group 订阅。 更多信息请参见名词解释。

本节主要介绍了云硬盘概述、云硬盘类型及性能等。 云硬盘概述 云硬盘（Edge Cloud Disk，ECD）是一种为边缘虚拟机等边缘计算服务提供持久性块存储的服务，云硬盘是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。通过数据冗余和缓存加速等多项技术，提供高可用性和持久性，以及稳定的低时延性能。用户可以对云硬盘做格式化、创建文件系统等操作，并对数据做持久化存储。数据的安全性高，扩展性好，支持三副本机制，数据可支持热迁移等等。 ECX由于边缘节点容量有限，云硬盘相对于云资源池的云硬盘容量要少得多，由于云硬盘多备份技术数据的可靠性相对本地硬盘更高，但如果您有关键数据需要安全存储请优先云资源池的云硬盘。 云硬盘类型及性能 云硬盘主要有三种类型：高IO、通用型SSD、超高IO，可购买的资源以实际展示的库存为准。详细性能如下： 参数 高IO 通用型SSD 超高IO 单个云硬盘的最大IOPS 5000 20000 35000 单个云硬盘的基线IOPS 1800 1800 1800 单个云硬盘IOPS公式 min (5000, 1800 + 8 × 容量) min(20000, 1800 + 12 × 容量) min (35000, 1800 + 50 × 容量) 最大吞吐量 200MB/s 250MB/s 350MB/s 吞吐量公式 min(200,130+0.1×容量) MB/s min(250, 120 + 0.3 × 容量) MB/s min (350, 120 + 0.5 × 容量) MB/s 最大性能云硬盘大小 max(400, 700) max(683, 433) max(664, 460) 典型应用场景 适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange 和 Microsoft SharePoint等。 各种主流的高性能、低延迟交互应用场景，企业办公，大型开发测试，转码类业务，Web服务器日志，容器等高性能系统盘。 适用于超高IO、超大带宽的读写密集型应用场景，例如高性能计算应用场景、分布式文件系统场景、I/O密集型应用场景、各类 NoSQL和关系型数据库部署等场景。

本章节主要介绍通过Flink作业处理OBS数据的最佳实践。 应用场景 MRS支持在大数据存储容量大、计算资源需要弹性扩展的场景下，用户将数据存储在OBS服务中，使用MRS集群仅做数据计算处理的存算分离模式。 本文将向您介绍如何在MRS集群中运行Flink作业来处理OBS中存储的数据。 方案架构 Flink是一个批处理和流处理结合的统一计算框架，其核心是一个提供了数据分发以及并行化计算的流数据处理引擎。它的最大亮点是流处理，是业界最顶级的开源流处理引擎。 Flink最适合的应用场景是低时延的数据处理（Data Processing）场景：高并发pipeline处理数据，时延毫秒级，且兼具可靠性。 在本示例中，我们使用MRS集群内置的Flink WordCount作业程序，来分析OBS文件系统中保存的源数据，以统计源数据中的单词出现次数。 操作流程 本示例操作流程如下： 创建MRS集群 创建并购买一个包含有Flink组件的MRS集群，详情请参见购买自定义集群。 说明 本文以购买的MRS 3.1.0版本的集群为例，集群未开启Kerberos认证。 在本示例中，由于我们要分析处理OBS文件系统中的数据，因此在集群的高级配置参数中要为MRS集群绑定IAM权限委托，使得集群内组件能够对接OBS并具有对应文件系统目录的操作权限。 您可以直接选择系统默认的“MRSECSDEFAULTAGENCY”，也可以自行创建其他具有OBS文件系统操作权限的自定义委托。 集群购买成功后，在MRS集群的任一节点内，使用omm用户安装集群客户端，具体操作可参考安装并使用集群客户端。 例如客户端安装目录为“/opt/client”。

本节介绍了专属云（计算独享型）的产品价格。 （一）计费项分为包含服务和关联服务两类。 1、包含服务： 专属云（计算独享型）购买的是计算物理独享资源，您可在资源总量的范围内任意创建云主机，云主机不再收取费用。但关联的IP、带宽、云硬盘等需要单独收费。 规格 vCPU 内存 类型 包月标准价格（元/月） 通用型 336核 321GB S1C1C2M1 9996 通用型 344核 380GB S1C1C2M1 12020 通用型 372核 704GB S3 20984 通用型 388核 516GB S6（CPU内存比为1:1、1:2） 15910 通用型 388核 702GB S6（CPU内存比为1:2、1:4） 注：默认配置是1:2，若需要1:4配置须在工单中备注 18270 通用型 390核 915GB S7n（CPU内存比为1:1、1:2、1:4） 21807.96 通用计算增强型 74核 148GB C6（CPU内存比为1:2） 8370 通用计算增强型 74核 296GB C6（CPU内存比为1:4） 10030 通用计算增强型 92核 324GB C6s（CPU内存比为1:2） 11699 通用计算增强型 92核 368GB C6s（CPU内存比为1:4） 15909 通用计算增强型 98核 196GB C7n（CPU内存比为1:2） 10855.46 通用计算增强型 98核 392GB C7n（CPU内存比为1:4） 13860.92 通用计算增强型 152核 512GB C7t（CPU内存比为1:2、1:4） 22477.928 通用计算增强型 152核 608GB C7t（CPU内存比为1:4） 24130.304 内存优化型 76核 608GB M6（CPU内存比为1:8） 13218 内存优化型 98核 784GB M7n（CPU内存比为1:8） 18372.35 磁盘增强型 92核 328GB D6（CPU内存比为1:4） 17860 磁盘增强型 98核 412GB D7（CPU内存比为1:4） 22010.38 超高IO型 90核 360GB Ir7n（CPU内存比为1:4） 16401.33 超大内存型 96核 1920GB E7（CPU内存比为1:20） 45745.92 鲲鹏系列通用计算增强型 116核 426GB Kc1s（CPU内存比为1:2、1:4） 12104.4 鲲鹏系列通用计算增强型 160核 640GB Kc2（CPU内存比为1:2、1:4） 17318.4 鲲鹏系列内存优化型 116核 928GB Km1s（CPU内存比为1:8） 15822.4 鲲鹏系列超高IO型 116核 392GB Ki1s（CPU内存比为1:4） 15739.57 注意 36核、44核、72核不再新发货，请优先订购其他规格。除原有通用型 36、44、72 核专属云不享受包年优惠外，其余通用型、通用计算增强型、内存优化型、磁盘增强型、鲲鹏系列等专属云享受包年优惠政策：一年 8.5 折。 2、关联服务（用户根据需求单独购买，另行计费）： 您在专属云中创建的云硬盘（包括系统盘、数据盘）、公网IP和带宽、云硬盘备份、镜像服务等将按照公有云中的价格进行计费。当您的专属云包含服务到期后，请您及时删除专属云关联服务，以免造成不必要的费用。 专属云中订购的共享存储和带宽都是按需计费，您可购买相应产品的资源包。 存储单元 规格 包月标准价格 （元/G/月） 按需标准价格 （元/G/小时） 共享存储包(普通IO) 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.3 0.0005 共享存储包（高IO） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.4 0.0009 共享存储包（超高IO） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 1.2 0.0017 共享存储包（通用型SSD） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.7 0.00097 共享存储包（极速型SSD） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 2 0.0042 注意 包年优惠政策：一年 8.5 折，两年7折，三年5折，四年4.5折，五年4折。 网络单元（此带宽包可以抵扣专属云下按需的公网带宽费用） 规格 包月标准价格 （元/M/月） 按需标准价格 （元/M/小时） 05M 基础包5M，可按1M步长增加；不订购或超出带宽包部分按量计费 20 0.056 5M以上 基础包5M，可按1M步长增加；不订购或超出带宽包部分按量计费 36 0.1 注意 无包年优惠政策。

步骤 操作 详细说明 1 为确保企业登录零信任客户端人员身份合法性，以及提升企业零信任远程办公安全性，企业员工在登录零信任客户端时需要进行身份认证。由此您需要先在零信任服务控制台创建用户与组织信息，在该列表的用户才允许登录零信任服务。 2 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 3 远程零信任办公服务帮助您管理企业员工，合作伙伴，项目合作方等不同角色人员对内部系统的访问权限，支持精细化的应用授权管理，可以按照用户组，角色，组织架构，用户粒度进行应用系统授权。您的员工用户可以在登录远程零信任办公服务客户端后，点击左侧我的资源查看具备访问权限的系统列表。 4 在您使用零信任网络访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和零信任服务边缘节点的网络连通。 5 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源，访问IP，用户粒度，访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。除访问控制外，如果您还需配置其他零信任策略，可联系我们。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 Edge 95及以上版本 Web浏览器登录 Chrome 91.0及以上版本 Web浏览器登录 Safari 13及以上版本 Web浏览器登录 Firefox 50.0及以上版本 ssh/telnet协议运维登录 SecureCRT 8.0及以上版本 ssh/telnet协议运维登录 Xshell 6及以上版本 ssh/telnet协议运维登录 putty 堡垒机客户端自带 ssh/telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 Winscp 5及以上版本 Sftp/Ftp协议运维登录 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本

本页为您介绍从天翼云ECS自建数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行相应配置。 数据库添加白名单。 自建数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

此小节介绍数据库审计的部署架构。 天翼云数据库审计架构图 天翼云数据库审计从产品部署架构可以自下而上分为数据采集、协议解析、风险识别、数据存储四个部分，在管理控制侧分成日志查询、仪表盘与报表、数据开发和分布式统一管理。 数据采集层的功能是接入需要审计的流量信息，并对流量二三层网络协议和TCP层协议进行解析，提取IP、端口等信息，并根据过滤规则去除不需要进行审计的流量。 协议解析层的功能是按照各种不同数据库的传输协议解析数据包中包含的有效信息，提取出数据库名称、SQL语句、客户端工具等信息，天翼云数据库审计在协议解析领域已积累十三年的解析经验，对数据库协议有着较深的理解，对协议的解析精确且全面。 风险识别功能将解析出来的SQL语句和安全规则进行匹配，以此来发现SQL语句中存在的可疑风险；规则匹配是采用基于DFA状态机的AC算法，该算法实现多条安全规则只需进行一次匹配，实现了高效的规则匹配。如果规则匹配的过程中没有发现风险，那么需要将SQL预计进行字段标准化形成一条审计日志，如果发现了风险，还会根据风险级别相应的产生一条标准化的告警日志，为了达到审计日志和告警日志可回溯，需要将日志进行存储，此时入库程序就会将产生的日志存储到磁盘当中。 当需要查询审计日志和风险日志时，天翼云数据库审计的数据输出模块提供了Web端查询功能，并可将这些日志信息通过Syslog、Kafka等方式发送到第三方平台。同时天翼云数据库审计的系统管理模块提供丰富的管理功能，包括了规则管理、软件升级等功能。

本节主要介绍如何使用API创建快照。 此操作用来创建单卷快照。 注意 在执行此操作之前，请确保源卷的所有数据已持久化，即如果源卷已被客户端挂载，需确保客户端的数据都已经同步到卷上，创建快照前： 对于Linux客户端：如果客户端支持sync f（可以通过sync help命令查看是否支持），在客户端执行sync f命令；否则在客户端执行sync命令。 对于Windows客户端：在客户端将源卷对应的磁盘脱机；创建快照后，在客户端将源卷对应的磁盘重新联机。 源卷需要处于正常状态。 说明 单卷支持的最大快照数：512。 系统支持的最大快照数：100000。 单个快照可创建的最大克隆卷数：512。 系统支持的最大快照深度：512。 请求语法 plaintext POST /rest/v1/block/snapshot HTTP/1.1 Date:date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "snapshotName": snapshotName, "lunName": lunName, "reclaimPolicy": reclaimPolicy, "description": description } 请求参数 参数 类型 描述 是否必须 snapshotName String 指定快照的名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 注意 快照名称、一致性快照名称及一致性快照的卷快照名称必须唯一，不可相互重复。 是 lunName String 指定快照对应的源卷。 注意 仅支持本地模式（Local）的卷。 是 reclaimPolicy String 指定快照回收策略。 取值： Delete：当快照无关联克隆卷，且最多拥有1个子节点（子节点表示存在其他快照依赖此快照，或者当前写操作基于此快照），快照自动删除。 Retain：当快照无关联克隆卷，且最多拥有1个子节点，快照仍然保留。 默认值为Retain。 否 description String 指定快照的描述信息。 取值：1~256位字符串。 否

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本节主要介绍性能。 实例性能 实例性能展示了数据库实例的各项关键指标，并提供日期对比功能，方便查看周期业务以及指标变化情况，及时发现异常。 可以通过磁盘占用率、负载和内核资源3种指标说明当前实例的性能情况。 操作步骤 步骤 1登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择所需实例，单击“详情”，进入DBA智能运维总览页面。 在“性能”页签下选择“实例性能”，进入“历史性能”页面。 单击“选择指标”，选择需要查看的实例指标后，单击“确定”。 实例指标 指标分类 指标名称 指标说明 ::: 磁盘占用率 实例数据磁盘使用量 该指标用于统计测量对象的实例数据磁盘已使用大小，该值为实时值。 (单位：GB) 磁盘占用率 实例数据磁盘总量 该指标用于统计测量对象的实例数据磁盘总大小，该值为实时值。 (单位：GB) 磁盘占用率 实例数据磁盘使用率 该指标用于统计测量对象的实例数据磁盘已使用百分比，该值为实时值。 (单位：%) 负载 死锁次数 该指标用于统计数据库发生事务死锁的次数，取该时间段的增量值。 (单位：次) 负载 80% SQL的响应时间 该指标用于统计数据库80% SQL的响应时间，该值为实时值。 (单位：us) 负载 95% SQL的响应时间 该指标用于统计数据库95% SQL的响应时间，该值为实时值。 (单位：us) 内核资源 buffer命中率 该指标用于统计数据库buffer命中率。 (单位：%)

本节介绍服务器安全卫士（原生版）防护配额操作指南。 查看配额详情 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护配额”，进入防护配额页面。 该页面为您展示配额的统计和配额的详情列表。 配额使用：为您展示正常配额的使用情况统计，分为使用中和未绑定2种状态。 配额状态：为您展示所有配额的状态统计，分为正常、已过期和已退订3种状态。 配额列表：展示正常、已过期、已退订3种状态的配额，销毁的配额不展示在列表中，包括配额ID、配额状态、绑定服务器、使用状态、开通时间、到期时间等信息。 该列表可根据配额状态、使用状态、配额ID、服务器名称和服务器IP进行查询。 管理配额 包括配额订购、配额续订、配额退订和到期处理相关操作。 配额订购 详细操作请参见购买网页防篡改配额。 配额续订 您可对已订购的网页防篡改（原生版）配额进行续费。 说明 仅支持对配额状态为未到期、已到期（未过保留期）的配额进行续订。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护配额”，进入防护配额页面。 3. 在页面下方配额列表中，对需要续订的配额，单击操作列的“续订”。 4. 在“续订”页面选择该配额需续订的时长。 5. 阅读《天翼云网页防篡改（原生版）服务协议》，并勾选“我已阅读并同意相关协议《天翼云网页防篡改（原生版）服务协议》“，单击“立即购买”。 6. 进入“付款”页面，完成付款。

API安全网关 API全生命周期管理：多协助开发者轻松完成API的创建、维护、发布、监控、参数校验等整个生命周期的管理。 API攻击防护：内置丰富的攻击检测规则，对OWASP top 10等常见的web和API风险漏洞提供有效的攻击防护。 API限流限速：支持基于API、服务、API调用者三个维度的限流限速功能，以保护你的后端服务。 灵活的API访问控制：支持高度可配置的访问控制策略，涵盖但不限于IP白名单/黑名单、请求URL匹配、HTTP方法限制、请求体校验、Host头验证及Referer检查等。 API动态脱敏与水印溯源：自动识别和梳理API中传输的敏感数据，针对不同的API调用者配置动态脱敏功能和水印算法。 API监控审计：提供API访问行为的全量审计功能和访问行为分析功能，方便事后追踪溯源。 API风险监测 自动化盘点应用API，掌握数据资产全貌：采集API日志支持加密流量解析；维持最新的API清单让API清晰可见，多种API打标维度让API可管 。 API分类分级管控：快速定义数据的敏感等级，包括金融、运营商、政务在内的14个分类分级模版，同时识别API上面传输的敏感数据，监测数据流动，例如：手机号、姓名等。 数据安全风险分析：提供API 脆弱性风险、用户行为风险、用户行为画像等多重种数据安全风险统计分析能力。 API行为风险监测：内置行为风险自动监测引擎，对用户异常调用API获取数据行为等进行实时监控预警，发现逾需拉取、数据爬取等行为风险。 留存全量日志，实现全面溯源可查：统一操作日志格式，为常用的审计景添加检索引，检索相应速度更快，运营操作更友好；内置API数据安全运营报表、资产治理专项报表以及特殊场景安全评估报表，如：疑似下线资产审计等，可通过邮箱订阅报表

本文介绍Nginx Ingress概述。 本文将介绍Ingress基本概念、Ingress Controller工作原理以及Nginx Ingress Controller的使用说明。 Ingress基本概念 Ingress是Kubernetes集群中一种API对象，属于网络路由和负载均衡中的一个概念。它的主要作用是将外部的流量路由到集群内部的服务，您可以通过Ingress资源来配置不同的转发规则，从而根据不同的规则设置访问集群内不同的Service所对应的后端Pod。Ingress可以看作是在Service的基础上提供了更高级别的负载均衡和路由规则控制。与Service不同的是，Service只提供了基础的负载均衡和服务发现功能。 Ingress Controller工作原理 Ingress API对象的创建需要使用Ingress Controller，它是一个独立于Kubernetes集群之外的组件。Ingress Controller会不断地监视Ingress对象的变化，当检测到Ingress对象的变化时，它会自动更新代理服务器的配置信息。通常情况下，Ingress Controller会将请求代理到运行在同一集群内的Service中，但它也可以被配置为代理到集群外部的其他服务。Ingress Controller 常见的工作流程如下： 1. Kubernetes集群中的Ingress Controller通过API Server监控Ingress的创建、删除和更新。 2. 当有新的Ingress创建时，Ingress Controller会解析Ingress的规则，并将其实现为代理服务器的转发规则。 3. 当有新的Service创建或修改时，Ingress Controller会读取对应的Service的信息，例如其IP和端口等，并将其添加到代理服务器的配置中，实现对后端服务的指向。 4. 当新的Pod创建、修改或删除时，Ingress Controller会读取每个Pod上的Service的信息，并将其添加到代理服务器的配置中，实现对后端服务的指向。 5. 当有Ingress被删除时，Ingress Controller会删除代理服务器上对应的路由规则。

本页介绍分布式融合数据库HTAP快速入门的相关准备工作。 在创建分布式融合数据库HTAP实例之前，您需要进行一些准备工作，确保正确配置和管理实例的网络环境和安全性。 首先，您需要设置一个虚拟私有云（VPC）。VPC是一个隔离的网络环境，用于托管分布式融合数据库HTAP实例。通过VPC，您可以自主配置和管理实例的网络，确保数据和通信的安全性。 其次，为了更好地管理和划分网络，您需要在VPC内创建一个或多个子网。子网是VPC内部的子网络，可以用于将不同的部分和区域进行划分。这样的划分可以更好地组织实例和资源，并提高网络的可扩展性。 最后，您需要配置一个安全组。安全组用于控制实例的入站和出站流量，确保实例的安全性。通过设置安全组规则，您可以限制允许访问实例的IP范围，从而防止未经授权的访问。 每个分布式融合数据库HTAP实例都将被部署在特定的VPC中，并与特定的子网和安全组相关联。如果您已经有现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这将节省时间和资源，并确保实例的一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与分布式融合数据库服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。

模块名称 参数名称 说明 跨域访问 http.cors.allowcredentials 跨域访问是否返回头部的AccessControlAllowCredentials。 取值范围：true、false。 默认值：false。 跨域访问 http.cors.alloworigin 允许跨域访问的IP，配置样例如122.122.122.122:9200。 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。 单位：秒。 默认值：1728000。 跨域访问 http.cors.allowheaders 跨域访问允许的headers，包括XRequestedWith, ContentType, ContentLength，中间用英文逗号和空格分开。 跨域访问 http.cors.enabled 是否允许跨域访问。 取值范围：true、false。 默认值：false。 跨域访问 http.cors.allowmethods 跨域访问允许的方法，包括OPTIONS, HEAD, GET, POST, PUT, DELETE，中间用英文逗号和空格分开。 集群索引重建 reindex.remote.whitelist 配置该参数可以将本集群数据通过reindex接口迁移到配置的集群，配置样例如122.122.122.122:9200。 自定义缓存 indices.queries.cache.size 查询阶段的缓存大小。 取值范围：1100。 单位：%。 默认值：10%。 线程池队列大小 threadpool.bulk.queuesize Bulk请求的队列大小。输入的参数值为整数类型。 默认值：200。 当集群版本为7.x之前版本时，显示此参数。 线程池队列大小 threadpool.write.queuesize 线程池写入队列大小。输入的参数值为整数类型。 默认值：200。 当集群版本为7.x之后版本时，显示此参数。 线程池队列大小 threadpool.forcemerge.size 用来做forcemerge的队列大小。输入的参数值为整数类型。 默认值：1。 自定义 用户可以根据实际情况，添加相关参数名称。 自定义参数的取值。 说明 l 如果自定义参数有多个取值，则取值的输入格式为[value1, value1, value1...]。 l 取值之间用英文逗号和空格隔开。 l 自定义参数值中不能包含冒号。

本文介绍Referer防盗链的配置方法。 功能介绍 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，全站会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，全站会返回资源链接；拒绝访问请求，全站会返回403响应码。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 打开【Referer防盗链】功能，默认为关闭。 6. 按需启用【是否允许空referer访问】、【是否允许空协议】、【匹配所有端口】、【忽略大小写】、【是否追加】。 7. 设置类型，选择【白名单】或【黑名单】，每种类型最多添加400个，使用换行符分隔，支持通配，支持IP，支持端口，如：.ctyun.cn、ctyun.cn:80、127.0.0.1:80、localhost、匹配所有端口：ctyun.cn(:[09]+)?。 8. 单击【保存】，完成配置。 参数名 说明 Referer防盗链 默认关闭，开启后可配置Referer防盗链。 是否允许空Referer访问 默认开启，即允许空Referer访问，若要禁止空Referer访问，需关闭此功能。 是否允许空协议 默认关闭，即不允许空协议访问，若要支持空协议访问，需开启此功能。 匹配所有端口 默认关闭，即根据实际配置Referer进行匹配，若要匹配所有端口，需开启此功能。 忽略大小写 默认关闭，即根据实际配置的Referer大小写字符进行匹配，若要忽略大小写匹配，需开启此功能。 是否追加 默认关闭，即需要全量下发，开启后可增量下发。 类型 可选择配置白名单或者黑名单，二选一。 黑名单：黑名单内的域名无法访问资源。 白名单：只有白名单内的域名可以访问资源。如果有同时开启允许空Referer访问，则空Referer也可访问资源。

本文解释平台用量查询的流量与日志统计的流量差异产生的原因。 直播控制台上可查询带宽流量等统计数据，该数据同时也应用于生成计费账单，其流量会比基于访问日志统计的流量偏多。 原因是日志中记录的流量数据是基于应用层日志中响应消息头+响应body体统计出的流量。而在实际网络请求中产生的网络流量，由于存在TCP/IP包头消耗和TCP重传，要比应用层统计到的流量数据高出7%~15%。因此按照业界标准，应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。 TCP/IP包头的消耗 HTTP请求是基于TCP/IP协议的，数据包是TCP/IP协议通信传输中的数据单位，我们在使用基于TCP/IP协议的网络时，网络中传递的其实就是数据包。每个数据包的大小最大是1500字节，这1500字节中包括了TCP和IP协议组成的40个字节的包头，这两个协议包头其实也会产生流量，但是却无法被应用层统计到，因此这40个字节的流量就不会被统计到日志里，这部分的流量会占到我们通过日志计算出流量的2.74%（40/1460）以上，即3%左右。 TCP重传 根据互联网中网络的负载情况，通常情况下，会有接近3%~10%的数据包会因为网络堵塞、设备故障等各种异常情况被丢弃。发生丢包后，服务器会对丢弃的数据包进行重传，这部分的具体操作是由内核层的协议栈处理完成的，所以应用层无法进行统计，因此在一定程度上也会造成日志统计与实际网络响应流量的差异。 综上所述，天翼云视频直播产品取平均值10%作为网络层额外消耗的流量比例，即应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。

本文主要介绍如何将IP地址组关联至资源。 操作场景 IP地址创建完成后无法独立使用，本章节指导用户将IP地址组关联至对应的资源投入使用。 IP地址组可关联至安全组，网络ACL中。 前提条件 已创建完成IP地址组。 操作步骤 您需要将已创建的IP地址组关联至对应的资源投入使用，操作指导如下表所示。 表 IP地址组关联资源指导 资源 说明 操作指导 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 添加安全组规则： 添加入方向规则：“源地址”选择IP地址组。 添加出方向规则：“目的地址”选择IP地址组。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 添加网络ACL规则： 添加入方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。 添加出方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。

本文介绍连接器实例相关配置,以便您可以快速接入服务。 功能介绍 企业将连接器安装部署到企业服务器上后，连接器实例将进行上报相关信息，可通过切换到连接器实例来查看和管理连接器实例。 软件连接器安装指导，请参考：软件连接器实例安装。 硬件连接器安装指导，请参考：硬件连接器实例安装。 操作步骤 1. 登录边缘安全加速平台控制台，在首页产品能力选择零信任进入工作台。 2. 在左侧导航栏选择AOne零信任网络连接器管理。 3. 根据主导览进行切换管理“连接器实例”。 配置说明 连接器对应的具体字段： 注意 旧版本连接器不支持上报隧道最新在线时间，若您的连接器实例运行时长、最新在线时间、首次上报时间字段值为空，该功能需连接器版本号大于1.17.0及以上，若需要查看这部分字段，请更新连接器实例为最新版。 字段 说明 连接器实例 安装的连接器实例所在服务器的主机名，若为docker安装类型，部分情况下为容器内主机名。 所属集群 连接器实例关联的集群，即通过对应连接器集群命令进行安装则关联对应集群。 连通状态 中心连通：表示连接器和零信任控制中心的GRPC长连接的连通状态，该状态有在线、离线2种，在线表示长连接正常，离线表示长连接掉线，长连接掉线并不影响连接器内网隧道访问，只影响连接器接收配置通道的可用性。 隧道状态：隧道状态表示连接器访问内网的隧道可用性状态，若隧道状态异常，则该连接器无法进行正常内网访问。隧道状态有如下三种情况：未连接、禁止连接、正在运行。未连接：表示连接器实例已经离线，可优先检查连接器实例网络连通状态、服务状态。禁止连接：若您点击“禁止连接”，则该连接器实例即使在线也无法进行上报连通。正在运行：表示连接器正常运行，连接状态正常。 运行时长：统计连接器隧道在线时长。为隧道为正在运行状态后的最新在线时间减去隧道首次上报时间。 最新在线时间：记录隧道正常运行后的心跳上报，隧道状态为正在运行的连接器会定期上报心跳，此时平台会更新连接器最新在线时间。 首次上报时间：记录隧道从异常变成正常状态后的第一次心跳上报时间，作为连接器此次隧道正常运行的首次上报时间。 安装时间：记录该连接器的安装时间，连接器安装后会进行首次心跳上报作为首次上报时间，若出现安装时间和首次上报时间相间隔过长，说明连接器隧道曾经异常过。 实例地址 展示连接器公网地址对应的运营商和地理位置。 公网IP：展示连接器所在服务器和零信任中心连接的公网地址IP。 监控指标 带宽（上行/下行）：根据连接器实例上报的带宽指标，统计实时带宽使用情况。 CPU/内存：根据连接器实例所在机器上报的CPU、内存性能指标，展示实时CPU，内存使用情况。 实时带宽上限 设置连接器实例的带宽上限。带宽上限将限制实例上行+下行带宽之和，若超过则进行限速。 实例实际生效的限速值受到集群带宽上限的影响。实际生效值取集群带宽上限、实例动态限速带宽上限（触发集群限速时）、实例带宽上限中最小值。例如：实例带宽上限配置10Mbps，集群带宽上限配置8Mbps。连接器集群触发限速时，下发给该实例的动态限速值为5Mbps，则该实例当前生效的带宽上限为5Mbps。 类型 连接器实例所安装的版本类型，主要有：docker、windows、redhat、debian等。 架构 连接器实例所在系统架构：x86、arm。 版本号 展示当前连接器实例的版本号，包含安装类型，例如：docker1.8.126d99de。 版本升级策略 展示当前连接器实例对应的版本升级策略，可选择手动升级或者自动升级，可点击后方按钮，修改当前连接器实例对应的版本升级策略。 操作 禁止连接：该连接器实例即使在线也无法进行上报连通。 允许连接：若为禁止连接状态，则可以点击允许连接恢复上报。 重启：支持连接器实例级别的重启，仅支持在连接器正在运行时支持进行重启按钮，重启可能影响服务，请谨慎操作。 删除：删除实例前需要确保已将机器的连接器实例进行卸载删除。

本章节将介绍申请证书的详细操作。 成功购买证书后，您需要申请证书，即为证书绑定域名或IP、填写证书申请人的详细信息并提交审核。所有信息通过审核后，证书颁发机构才签发证书。 在申请证书时，您可以参考SSL证书申请常见问题。 前提条件 已成功购买证书并且在控制台的“证书状态”为“待申请”。如何购买证书请参考：购买SSL证书。 约束限制 如果您申请的DV证书，绑定的域名含有edu、gov、bank、live或品牌相关的敏感词，可能无法通过安全审核，建议选择OV或EV证书。 操作步骤 1. 登录“证书管理服务”控制台，在左侧导航栏选择“SSL证书管理 > SSL证书列表”，随后在顶部导航栏选择“可申请”，进入“证书管理”页面。 2. 选择“域名型 (DV) SSL”证书，单击“操作”列的“证书申请”按钮，进行SSL证书申请。 3. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 若您在申请单域名规格证书时，填写的域名为4级及以上子域名，请加上“www”，否则不会包含主域名。例如：申请www.aaa.bbb.ctyun.cn，会包含aa.bbb.ctyun.cn这个备用域名，若直接申请aaa.bbb.ctyun.cn，则不会包含www.aaa.bbb.ctyun.cn这个备用域名。 若您的域名为中文域名，可使用Punycode编码转换工具将中文域名编码为Punycode填入域名栏。 域名验证方式 可选“文件验证”、“手工DNS验证”、“代理文件验证”、“代理DNS验证”。 “手工DNS验证”、“代理DNS验证”：不支持GlobalSign版本的证书验证。 “文件验证”、“代理文件验证”：目前仅支持绑定IP方式的OV证书验证，不支持通配符域名类型的证书验证。 说明 申请提交后，不支持更改域名验证方式，请谨慎选择。若已经提交申请，只能撤回申请后重新提交申请。 证书管理服务有效时长内包含多张SSL证书。每张张证书到期前30天，天翼云将会自动为您续期证书，此处的“域名验证方式”建议选择“代理文件验证”或“代理DNS验证”，每次续期证书将无需手动验证域名。 联系人 选择联系人，如何新建联系人请参考信息管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”或“SM2”（根据购买证书页面所选的加密标准选择） CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 提醒事件管理 说明 证书过期将影响业务正常运行，因此，建议设置证书临期提醒，联系人建议填写运维人员。 联系人 建议填写运维人员。如果需要新增联系人，请参见联系人管理。 提醒方式 可选择“邮件方式”、“短信方式”。 提醒内容 支持多选： 30天到期提醒 15天到期提醒 证书验证提醒 证书下载提醒 4. 填写完后，单击“提交审核”。 提交审核后，CA颁发机构将对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。您需要按照要求进行域名验证。 5. 配置域名验证信息，配置域名信息操作可参考域名验证。配置后完成等待审核签发证书。 6. 若证书已成功签发，可返回到“已签发”页签查看签发成功的证书。

本节主要介绍如何使用API修改单个卷。 此操作用来修改单个卷的配置。 说明 卷处于启用或禁用状态时可以修改（HBlock 3.9之前版本）；卷处于“删除中”、“回滚中”，不能修改卷的配置。 请求语法 本地卷 plaintext PUT /rest/v1/block/lun/lunName HTTP/1.1 Date: date Host: ip:port Authorization: authorization { "config": { "minReplica": minReplica, "redundancyOverlap": redundancyOverlap, "writePolicy": writePolicy, "serverAffinity": { "autoFailback": autoFailback, "priority": [ SeverID,ServerID… ] } } } 上云卷 plaintext PUT /rest/v1/block/lun/lunName HTTP/1.1 Date: date Host: ip:port Authorization: authorization { "config": { "minReplica": minReplica, "redundancyOverlap": redundancyOverlap, "writePolicy": writePolicy, "serverAffinity": { "autoFailback": autoFailback, "priority": [ SeverID,ServerID… ] } }, "cloud": { "compression": compression, "accessKey": accessKey, "secretKey": secretKey, "endpoint": endpoint, "signVersion": signVersion, "region": region } } 请求参数 参数 类型 描述 是否必须 lunName String 卷名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 config.minReplica Integer 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N +M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。 否 config.redundancyOverlap Integer 修改卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC模式，取值范围是[1, N+M]。 否 config.writePolicy String 卷的写策略。 取值： WriteBack：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 否 config.serverAffinity.autoFailback Object 卷主备分布优先级设置，详见“表1 请求参数config.serverAffinity说明”。 否 cloud.compression String 是否压缩数据上传至对象存储。 取值： Enabled：压缩数据上传至对象存储。 Disabled：不压缩数据上传至对象存储。 否 cloud.accessKey String 对象存储服务的Access Key。 注意 Access Key和Secret Access Key如果要修改，必须同时修改。 否 cloud.secretKey String 对象存储服务的Secret Access Key。 注意 Access Ke和Secret Access Key如果要修改，必须同时修改。 否 cloud.endpoint String 设置对象存储服务的Endpoint。 注意 Endpoint必须与所使用的对象存储服务一一对应：若使用OOS对象存储服务，需填写OOS的Endpoint；若使用兼容S3的其他对象存储服务，则需填写它的Endpoint。 如果仅输入域名将会使用HTTPS协议进行访问。 否 cloud.signVersion String 指定上云签名认证的类型。 取值： v2：V2签名认证。 v4：V4签名认证。 否 cloud.region String 表示Endpoint资源池所在区域。 V4签名时，此项必填。 否 表1 请求参数config.serverAffinity说明 参数 类型 描述 是否必须 autoFailback String 修改是否根据指定的卷主备分布优先级自动进行主备切换（仅集群版支持），即针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 否 priority Array of priority 修改卷主备分布优先级的服务器ID（仅集群版支持），系统根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 注意 如果为空数组，即[ ]，表示清空优先级设置。 取值：服务器ID。 否

功能 说明 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 回源协议指全站加速节点回源站请求资源时使用的协议。配置该功能后，全站加速节点将根据指定的协议回源。全站加速支持HTTP回源协议，HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 回源协议为HTTPS协议时，全站加速默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 当您的源站的同一个IP地址上绑定多个域名或站点时配置回源HOST，全站加速在回源时根据HOST信息去对应站点获取资源。 当您的加速域名配置了多个回源站点，且回源站点与加速域名不同时，您可以使用指定源站回源HOST功能，为不同的源站配置不同的回源HOST，天翼云全站加速产品在回源时会根据配置的回源HOST信息去访问不同站点的资源。 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源HOST带端口功能，全站加速回源时可以在回源HOST中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 如果一个源站IP地址绑定多个域名，且全站加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，全站加速节点向源站发起回源请求时将使用改写后的URI。 回源参数改写功能可改写回源请求URL中的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 开启Common Name白名单功能后，全站加速节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。 配置回源302/301跟随功能后，全站加速节点会代替用户去处理源站响应的302/301状态码内容，即全站加速节点会直接跳转到源站302/301响应中的Location地址请求资源，不会把源站响应的302/301跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 Range回源功能开启后，全站加速节点可以以分片的形式缓存文件，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。 回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 “回源超时时间设置（新）”与“回源超时时间设置”的区别：新的回源连接超时时间和回源请求超时时间具备内部链路超时时间从回源层往边缘层逐层递增的能力，默认递增1s。可促进回源重试，降低访问异常的概率。 如果您的域名有多个源站，且希望通过全站加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 如果您的域名既有ipv4源站，又有ipv6源站，可以配置区分ipv4/ipv6协议回源，可实现ipv4协议的客户端回ipv4的源站，ipv6协议的客户端回ipv6的源站。同时也可基于客户实际需求，设置V4和V6用户按指定权重回对应V4和V6源站。 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。 若客户使用天翼云媒体存储/对象存储作为源站，在新建Bucket权限选择【私有】之后，需要配置私有Bucket回源功能。

本文介绍如何管理IP地址簿，包括添加、编辑、删除IP地址簿。 IP地址簿是多个IP地址的集合。通过使用IP地址簿，可帮助用户有效应对需要重复编辑访问规则中IP地址的场景，方便批量管理访问规则。 在地址簿列表上方，可通过“地址簿名称”和“IP地址”对地址簿列表进行筛选。 约束限制 每个防火墙实例支持1000个地址簿（该配额由IP地址簿和端口地址簿共用）。 每个地址簿最多支持6000个IP地址。 每个防火墙实例下最多添加160000个IP地址。 添加IP地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 单击“添加地址簿”，进入“地址簿添加”页面。 6. 配置地址簿参数，参数说明如下。 参数名称 参数说明 地址簿名称 用户可自定义地址簿名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不超过255字符。 地址簿类型 IP地址簿选择“IPv4地址”或“IPv6地址”。 地址簿描述 用于标识地址簿的用途，以便快速区分不同的地址簿。 IP地址 根据所选地址簿类型，添加该IP地址簿需要管理的IP地址。最多支持6000个地址。 支持如下地址格式： 单个IP地址。 地址段，使用“/”隔开掩码。 多个连续地址，中间使用“”隔开。 支持输入多个IP地址，使用半角逗号（,）、半角分号（;）或空格隔开。 7. 确认填写信息无误后，单击“确认”，完成添加IP地址簿操作。

步骤一：启用/禁用实例 禁用状态下，无法进行规则配置，且已经配置的规则将处于未生效的状态。 步骤二：配置加密规则 1. 单击“实例IP”前的按钮，展开对应实例下的所有数据库实例。 2. 选择需要配置加密规则的数据库，单击“操作”列的“配置加密”。 3. 在“表名”下拉框中选择需要配置加密规则的数据库表。 4. 单击“加密配置”，选择需要加密的字段开始配置。 加密规则：对指定表的指定字段进行加密规则配置，配置时可自定义密文字段的名称（密文字段用于存储密文数据），选择加密密钥、加密模式、补丁方式。 参数 参数说明 加密密钥 选择加密密钥，用于对明文数据进行加密 加密字段名称 选择加密字段名称，用于存储密文数据 加密模式 根据需求选择加密模式，支持选择一下三种： ECB CBC FPE 补位方式 选择补位方式，目前仅支持：PKCS5Padding 完整性保护：对指定表的指定字段进行完整性保护规则配置，配置时可自定义完整性保护字段的名称（用于存储校验数据），选择加密密钥。 参数 参数说明 加密密钥 选择加密密钥，用于对明文数据生成校验值 加密字段名称 选择加密字段名称，用于存储校验值数据 模糊查询：对指定表的指定字段进行模糊查询规则配置，配置时可自定义模糊查询列的名称。 参数 参数说明 模糊查询字段名 自定义模糊查询列的名称 脱敏：对指定表的指定字段进行脱敏规则配置，配置了脱敏规则的字段可对数据进行脱敏处理。 参数 参数说明 脱敏算法 支持以下规则： 保留前N后M 保留X到Y 遮盖前N后M 遮盖X到Y 特殊字符前遮盖 特殊字符后遮盖 替换字符 用于遮盖替换敏感数据