本节主要介绍迁移用户 操作场景 数据库的迁移过程中，迁移用户需要进行单独处理。 MySQL数据库操作 在MySQL迁移过程中，常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。 可完整迁移的用户：可完整迁移的用户指满足目标数据库权限要求的用户，该类用户在进行迁移时不需要做任何处理，系统默认会将对应的数据库用户权限迁移至目标数据库。 需要降权处理的用户：需要降权的用户指具有不满足目标数据库权限要求的部分高权限的用户，比如具有：super、file、shutdown等高权限的用户。该类用户在进行迁移时需要进行降权处理，否则会导致迁移失败。 对于该类账号不支持的高权限，将会由DRS自动进行降权处理，您可以通过单击备注列的“查看”按钮查看具体的降权处理信息，依据该信息，可以帮助您评估降权是否对其业务程序造成相关影响。 不可迁移的用户：不可迁移的用户指由于某些原因，DRS不支持该类数据库用户的迁移。该类账号将在目标数据库中缺失，请先确保业务不受该类账号影响。同时，任务启动后，所有针对该类账号进行的权限密码操作，将会导致增量迁移失败。 您可以根据业务需求选择“迁移”或者“不迁移”这些用户，当您选择“迁移”数据库用户时。可按照如下操作步骤进行数据库用户、权限和密码的处理，此处以勾选所有可以迁移的数据库用户为例。 迁移用户模块主要由账号名称、账号权限和账号密码三部分构成。 步骤 1 一般账号名称的组成格式为：'账号名'+@+'host'，其中host表示具体允许访问源端数据库的目标库IP地址，您可以根据具体的业务场景选择是否需要修改账号的host地址，对目标库IP进行重规划。 步骤 2 账号权限一般默认不可修改，对于支持迁移的账号（可完整迁移的用户和需要降权的用户），系统也将默认支持对应用户权限的迁移。 迁移成功后，存储在目标数据库中的对应用户（需要降权的用户）是经过降权处理的用户。 步骤 3 DRS支持数据库用户密码的迁移。 数据库用户密码的迁移可通过如下两种方式来处理。 由于DRS在迁移时不会分析您的密码数据和强度，源系统密码复杂度过弱则存在安全风险，为了确保迁移过程中数据的安全性，您可以根据业务需求，选择是否需要重新设置数据库用户密码，通过设置较高的密码复杂度来持续保护数据库。 方式一：密码迁移。 您可以选择在迁移的过程中，直接迁移源数据库系统当前的密码，此时不需要通过勾选“重置密码”来设置新密码。数据库用户密码迁移至目标库后，您如果担心用户密码强度较弱，为了确保数据库的安全性，此时也可以选择在目标库端重新设置强度较高的源系统密码。 方式二：重置密码。 您可以通过勾选“重置密码”选择立即重新设置源系统密码后再继续进行用户密码迁移。 您可以选择某个指定支持迁移的用户，在“输入密码”列直接设置新密码或者选择所有支持迁移的用户，勾选右下角“统一输入密码”，批量将所选用户密码设置为相同的密码，以便快速完成迁移。使用批量方法设置的密码，待迁移成功后，可以在目标数据库端通过执行DDL语句，进行密码重置。 步骤 4 对于需要降权处理的用户和不支持迁移的用户，在备注列的查看详情中会提示具体的原因，您需要单击对应用户备注列的“查看”，确认详情后才可进行下一步操作。如果存在多个需要查看备注详情的用户，您也可以单击“确认所有备注”按钮，一键查看备注信息。 数据库用户已存在是不支持迁移到目标数据库的常见情形，此时您可以根据实际情况，决定是否需要删除目标端已存在的数据库用户，并单击“刷新”按钮，刷新当前数据库迁移用户的分类。 说明 目前仅MySQL支持迁移用户功能。 以上重新设置的密码强度必须满足目标数据库的密码复杂度要求。

本节主要介绍创建虚拟机时选择对应的虚拟私有云及子网,该虚拟机将分配对应的VPC IP地址。 使用说明 在创建虚拟机时，需要选择对应的VPC和子网，以便分配对应VPC IP地址。 在虚拟机删除后，对应的VPC IP地址自动回收。 创建虚拟机时选择虚拟私有云及子网 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘虚拟机>实例】，单击右上角的【新建实例】。 3. 在创建实例页面中，在【实例基础配置>地域】选择对应的地域，在【网络配置>VPC】选择当前地域下已有的VPC和子网，若没有对应的VPC和子网可选，请参考创建虚拟私有云的操作指南进行VPC和子网的创建。

参数名称 说明 取值样例 风险操作名称 您可以自定义风险操作的名称。 test 风险级别 选择风险操作的级别，可以选择以下级别：l 高l 中l 低l 无风险 高 状态 开启或关闭风险操作。 ：开启 ：关闭 应用到数据库 选择应用该风险操作的数据库。 客户端IP/IP段 输入客户端的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 192.168.0.0

本节介绍黑白名单的编辑、删除操作。 如果您想修改已添加的黑/白名单的地址方向、IP地址、协议类型等配置，可以参考本章节进行重新配置。 编辑黑/白名单 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”界面。切换防护对象页签后，选择“黑名单”或“白名单”页签。 5. 在需要编辑的规则所在行的“操作”列中，单击“编辑”。 对参数进行修改，参数详情请参见下表。 参数名称 参数说明 地址方向 选择“源地址”或“目的地址”。 源地址：设置会话发起方。 目的地址：设置会话接收方。 协议类型 协议类型当前支持：TCP、UDP、ICMP、Any。 端口 “协议类型”选择“TCP”或“UDP”时，设置需要放行或拦截的端口。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如放行/拦截该IP地址22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如放行/拦截该IP地址80443端口的访问，则配置“端口”为“80443”。 描述 设置该黑/白名单的备注信息。 6. 修改完成后，单击“确认”保存。

本文介绍视频直播相关的基本概念。 边缘节点 边缘节点是离终端用户最近的一个节点，经过视频直播加速的客户，其用户访问无论推流还是拉流均经过边缘节点接入。 源站 源站指客户的直播源，通常由客户运营维护，为视频直播加速提供原始内容。 DNS DNS，即Domain Name System，指域名解析服务。它的作用是把域名转换成网络可以识别的IP地址。人们习惯记忆域名，但机器间互相只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成220.181.112.143。常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 CNAME域名 客户接入直播时，在天翼云直播控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctadns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctadns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云直播的节点，实现加速的目的。 CNAME记录 CNAME记录是指域名解析中的别名记录（Canonical Name），用来把一个域名解析到另一个域名（CNAME域名），再由CNAME域名来解析到需要访问的服务器IP地址。 DNS解析时间 DNS解析时间是指通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。

本小节介绍云日志审计Windows系统客户端配置。 Windows系统客户端配置 1.进入【日志采集】→【采集控制器】，点击“NXLog”客户端，进行下载。 压缩包内包括客户端配置程序、配置文件、操作方法。 相关配置文件需注意，“Host”为云日志审计IP地址。 2.配置文件修改后，重启服务。 Linux客户端配置 1.进入Linux系统，进行rsyslog进程配置。 命令： vim /etc/rsyslog.conf 2.修改配置如下： . @云日志审计IP地址（写入发送日志指向的云日志审计地址） 3.启动rsyslog服务。 systemctl start/restart rsyslog.service 其他类型资产日志配置 其他类型资产可选择内置syslog方式，填写云日志审计组件IP地址。 若配置完成，可到【安全概览】下查看资产设备的日志分析。

参数 参数类型 说明 示例 id String IPv6 带宽 ID bandwidthsjwu65pf9t status String IPv6 带宽状态: ACTIVE（正常） / EXPIRED（过期） / FREEZING（冻结） /CREATEING（创建中） CREATEING name String IPv6 带宽名字 xxxx bandwidth Integer IPv6 带宽峰值 mbps 1 resourceSpec String 独享 / 共享 standalone paymentType String 计费类型 包年包月 createdTime String IPv6 带宽创建时间 20221011T19:50:44Z expiredTime String IPv6 带宽过期时间 20221111T19:50:44Z ipAddress String IP 地址 :: ipv6GatewayID String IPv6 网关 ID xxxx

参数 参数类型 说明 示例 id String IPv6 带宽 ID bandwidthsjwu65pf9t status String IPv6 带宽状态: ACTIVE（正常） / EXPIRED（过期） / FREEZING（冻结） /CREATEING（创建中） CREATEING name String IPv6 带宽名字 xxxx bandwidth Integer IPv6 带宽峰值 mbps 1 resourceSpec String 独享 / 共享 standalone paymentType String 计费类型 包年包月 createdTime String IPv6 带宽创建时间 20221011T19:50:44Z expiredTime String IPv6 带宽过期时间 20221111T19:50:44Z ipAddress String IP 地址 :: ipv6GatewayID String IPv6 网关 ID xxxx

DNS配置参数名称 DNS配置参数含义 DNS策略 目前支持通过DNS策略 （dnsPolicy）字段为每个Pod配置不同的DNS策略。 ClusterFirst ：通过CoreDNS来做域名解析，Pod内/etc/resolv.conf配置的DNS服务地址是集群DNS服务的kubedns地址。该策略是集群工作负载的默认策略。 ClusterFirstWithHostNet ：强制在hostNetWork网络模式下使用ClusterFirst策略（默认使用Default策略）。 Default ：Pod直接继承集群节点的域名解析配置。即在集群直接使用ECS的/etc/resolv.conf文件。 None ：忽略集群DNS策略，需要您提供DNS配置（dnsConfig）字段来指定DNS配置信息，暂不支持此能力。 域名别名 通过hostAliases允许为Pod中的hosts文件增加本地域名解析条目。 IP地址 ：主机列表被解析到的目标IP地址。 主机名 ：将指定的主机解析到IP地址，多个主机名通过半角逗号（,）拼接。

名称 说明 组播域 组播域是指地域范围内定义一个组播网络范围。 仅组播域之内的资源可以发送和接收组播流量，组播域之外的资源无法发送和接收组播流量。 一个vpc下仅支持创建一个组播域，同地域的多个组播域之间互不相通。 组播组 在组播域中，一组发送和接收相同组播报文的资源组成一个组播组。每个组播组均由一个组播IP地址标识。 一个组播域下支持创建多个组播组，各个组播组的IP地址不能相同。不同组播域下支持创建相同IP地址的组播组。不同组播组的组播流量互不相通。 组播成员 在组播组下，接收组播流量的资源称为组播成员。

参数 说明 白名单Referer 指定允许访问ZOS资源的Referer，Referer为域名和IP地址，支持通配符星号()和问号(?)，多个Referer换行分隔。 黑名单Referer 指定禁止访问ZOS资源的Referer，Referer为域名和IP地址，支持通配符星号()和问号(?)，多个Referer换行分隔。 空Referer 选择是否允许空Referer的访问权限。允许空Referer表示允许请求没有提供Referer信息的访问，不允许则表示只接受提供了Referer信息的请求。

函数名称 函数描述 样例 运行结果 base64encode 将UTF8字符串转换为base64编码 base64encode ("Hello, cloud!") SGVsbG8sIGNsb3VkIQ base64decode 将base64编码解码为UTF8字符串(结果非UTF8格式会报错) base64decode ("SGVsbG8sIGNsb3VkIQ") Hello, cloud! base64gzip 将UTF8字符串压缩并转换为base64编码 base64gzip ("Hello, cloud!") H4sIAAAAAAAA//JIzcnJ11FIzskvTVEEAAAA//8BAAD//wbrhYUNAAAA

本文主要介绍如何创建工作负载弹性伸缩（HPA）。 HPA策略即Horizontal Pod Autoscaling，是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 使用HPA需要安装能够提供Metrics API的插件，如metricsserver或Prometheus。 约束与限制 HPA策略：仅支持1.13及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建CustomedHPA策略或其他HPA策略，您可以删除该HPA策略后再创建。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 操作步骤 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“负载伸缩”，在右上角单击“创建HPA策略”。 步骤 3 填写策略参数。 表 HPA策略参数配置 参数 参数说明 策略名称 新建策略的名称，请自定义。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置HPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入缩容和扩容的冷却时间，单位为分钟，缩容扩容冷却时间不能小于1分钟 。 该设置仅在1.15及以上版本的集群中显示，1.13版本的集群不支持该设置。 策略成功触发后，在此缩容/扩容冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 策略规则可基于系统指标或自定义指标。 指标：可选择“CPU利用率”或“内存利用率”。 说明 利用率 工作负载Pod的实际使用量 / 申请量。 期望值：请输入期望资源平均利用率。期望值表示所选指标的期望值，通过向上取整(当前指标值 / 期望值 × 当前实例数)来计算需要伸缩的实例数。阈值：请输入缩容和扩容阈值。当指标值大于缩容阈值且小于扩容阈值时，不会触发扩容或缩容。 阈值仅在1.15及以上版本的集群中支持 。 自定义策略（仅在1.15及以上版本的集群中支持） 自定义指标名称：自定义指标的名称，输入时可根据联想值进行选择。 指标来源：在下拉框中选择对象类型，可选择“Pod”。 期望值：Pod支持指标为平均值。br伸缩范围：当指标值处于伸缩范围中时才会触发伸缩 说明 HPA在计算扩容、缩容实例数时，会选择最近5分钟内实例数的最大值。 步骤 4 设置完成后，单击“创建”，在“完成”步骤中若显示“创建工作负载策略提交成功”，可单击“返回工作负载伸缩策略”。 步骤 5 在“工作负载伸缩”页签下，可以看到刚刚创建的HPA策略。

参数 说明 计费模式 包年/包月、按需计费两种模式，参考 计费模式 。 部署模式 标准、云原生两种模式，标准：基于传统管控架构部署。云原生：基于云原生容器平台部署，更灵活、扩容能力更强。 版本类型 基础版、增强版两种版本类型。 实例类型 主备、单机、Cluster主备、Cluster单机、读写分离等实例类型。具体实例类型说明可参考 实例类型 。 版本号 实例内核的版本号。 主可用区 主节点所在的可用区。 备可用区 备节点所在的可用区。当资源池包含3个或更多可用区时，才支持备可用区选项。 CPU架构 X86计算、ARM计算。 主机类型 主机类型信息，包含通用型、计算增强型等。 规格 缓存内存大小。 分片规格 缓存分片内存大小。 分片数 Cluster集群或Proxy主备集群自定义分片数。 副本数 主备、Cluster主备、读写分离可自定义副本数，默认2副本。 存储类型 实例存储类型，包含高IO、超高IO等。 规格信息 最终选择的实例规格信息，包含总容量、分片数、分片容量、副本数、最大连接数、基准/最大带宽。 虚拟私有云 点击下拉框可选择已创建的虚拟私有云，点击右侧的刷新按钮可刷新下拉框列表，点击“创建虚拟私有云”可进入虚拟私有云管理页面新增虚拟私有云。 所在子网 点击下拉框可选择当前虚拟私有云下已创建的子网，点击右侧的刷新按钮可刷新下拉框列表，点击“创建所在子网”可进入子网页面新增子网。 安全组 点击安全组下拉框可选择当前VPC下已创建的安全组，系统会为每个用户默认创建一个安全组。安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 企业项目 下拉选择IAM维护的企业项目，若没有找到需要的企业项目，可以跳转到 实例名称 系统生成默认缓存实例名称（用户可修改）。 密码 缓存实例密码。 确认密码 再次确认密码，与上述密码一致。 购买时长 购买实例的时长，计费模式为包年/包月时生效。 自动续期 勾选自动续订后方框，可在包年/包月实例到期后自动续期，计费模式为包年/包月时生效。 实例标签 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、部署环境、操作系统、开发团队等）的标签，实现资源分类。 就近访问 Prox主备集群以及读写分离实例部署在多个可用区时有效。（说明：该功能目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。）

检查Hive与ZooKeeper、HDFS、Yarn和DBService之间的网络连接 17.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive”。 18.单击“实例”。 显示HiveServer实例列表。 19.单击“HiveServer”行的“主机名称”。 弹出HiveServer主机状态页面。 20.记录“基本信息”下的IP地址。 21.以omm用户通过步骤20获取的IP地址登录HiveServer所在的主机。 22.执行ping命令，查看HiveServer所在主机与ZooKeeper、HDFS、Yarn和DBService服务所在主机的网络连接是否正常。（获取ZooKeeper、HDFS、Yarn和DBService服务所在主机的IP地址的方式和获取HiveServer IP地址的方式相同。） 是，执行步骤25。 否，执行步骤23。 23.联系网络管理员恢复网络。 24.在告警列表中，查看“Hive服务不可用”告警是否清除。 是，处理完毕。 否，执行步骤25。 收集故障信息 25.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 26.在“服务”中勾选待操作集群的如下节点信息。 ZooKeeper HDFS Yarn DBService Hive 27.单击右上角的设置日志收集的“开始时间”和“结束时间”，分别为告警产生时间的前后10分钟，单击“下载”。 28.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 双活 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

本节主要介绍Kubectl常用命令参考。 基础命令 get get命令用于获取集群的一个或一些resource信息。 该命令可以列出集群所有资源的详细信息，resource包括集群节点、运行的pod、Replication Controller、service等。 须知： 集群中可以创建多个namespace，未指定namespace的情况下，所有操作都是针对namespacedefault。 例如： 获取所有pod的详细信息： kubectl get po o wide 获取所有namespace下的运行的所有pod： kubectl get po allnamespaces 获取所有namespace下的运行的所有pod的标签： kubectl get po showlabels 获取该节点的所有命名空间： kubectl get namespace 说明 查询其他节点需要加s指定节点，类似可以使用“kubectl get rc”，“kubectl get svc”，“kubectl get nodes”，“kubectl get deploy”等获取其他resource信息。 以yaml格式输出pod的详细信息： kubectl get po o yaml 以json格式输出pod的详细信息： kubectl get po o json kubectl get po rcnginx2btv4j ocustomcolumnsLABELS:.metadata.labels.app 说明 其中LABELS为显示的列标题，可以自己设置，“.metadata.labels.app”为查询的数据需要按照之前的yaml或json获取。 create kubectl命令用于根据文件或输入创建集群resource。 如果已经定义了相应resource的yaml或json文件，直接kubectl create f filename即可创建文件内定义的resource。 kubectl create f filename expose expose将一个资源包括pod、Replication Controller、service、deployment等公开为一个新的service。 kubectl expose deployment deployname port81 typeNodePort targetport80 nameservicename 说明 给deployname发布一个服务，port为暴露出去的端口，type为服务类型，targetport为容器端口，port通过clusterip加端口访问，targetport通过节点ip加端口访问。 run 例如： 在集群中运行一个特定的镜像。 kubectl run deployname imagenginx:latest 在创建时指定运行的命令： kubectl run deployname imagebusybox command ping baidu.com set 在对象上设置特定功能。 例如： 将一个deployname的image改为镜像为1.0的image： kubectl set image deploy deployname containernamecontainername:1.0 edit edit提供了另一种更新resource源的操作。 例如： 使用edit直接更新pod的命令为： kubectl edit po ponginxbtv4j 上面命令的效果等效于： kubectl get po ponginxbtv4j o yaml >> /tmp/nginxtmp.yaml vim /tmp/nginxtmp.yaml /do some changes here / kubectl replace f /tmp/nginxtmp.yaml explain 查看文档或参考资料。 例如： 查看pods/service的相关文档： kubectl explain pods,svc delete 根据resource名或label删除resource。 例如： 立刻删除该pod： kubectl delete po podname now kubectl delete f nginx.yaml kubectl delete deployment deployname

本节主要介绍如何使用API获取历史性能数据。 此操作用来获取HBlock的历史性能数据。 请求语法 plaintext GET /rest/v1/system/monitor?startTimestartTime&endTimeendTime&dimensiondimension&instanceIdinstanceId1&metricmetric1,metric2 HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求参数 参数 类型 描述 是否必须 startTime String 查询起始时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为结束时间2小时之前的时间点。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 否 endTime String 查询结束时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为当前时间。 注意 起始时间必须早于结束时间。 否 dimension String 监控对象。 取值： system：系统。 pool：存储池（仅集群版支持）。 server：服务器。 disk：数据目录所在磁盘分区。 LUN：卷。 单机版默认值为system，集群版默认值为pool。 否 instanceId String 监控对象实例的唯一标识。 取值： 监控对象为system，没有实例。 监控对象为pool，必填，实例为存储池名称（仅集群版支持）。 监控对象为server，必填，实例取值为服务器ID。 监控对象为disk，必填，实例取值为“serverId +路径名称”，格式为serverId:/diskpath。 监控对象为LUN，必填，实例取值为卷名称。 否 metric String 指标名称，可以填写多个，以英文逗号隔开。指标具体描述详见监控指标。 取值： 监控对象为system： IOPS RIOPS WIOPS Bandwidth RBandwidth WBandwidth Latency WLatency RLatency PathCap PathUsed PathRate PathCapQuota PathCapQuotaUsed PathCapQuotaRate CloudBandwidth CloudUBandwidth CloudDBandwidth 监控对象为pool： IOPS RIOPS WIOPS Bandwidth RBandwidth WBandwidth Latency WLatency RLatency PathCap PathUsed PathRate PathCapQuota PathCapQuotaUsed PathCapQuotaRate 监控对象为server： CPURate MemRate MemTotal MemUsed IOPS RIOPS WIOPS Bandwidth RBandwidth WBandwidth Latency WLatency RLatency PathCap PathUsed PathRate PathCapQuota PathCapQuotaUsed PathCapQuotaRate CloudBandwidth CloudUBandwidth CloudDBandwidth 监控对象为disk： PathCap PathUsed PathRate PathCapQuota PathCapQuotaUsed PathCapQuotaRate 监控对象为LUN： IOPS RIOPS WIOPS Bandwidth RBandwidth WBandwidth Latency WLatency RLatency CloudBandwidth CloudUBandwidth CloudDBandwidth WaitUpload 不填写，默认获取监控对象的全部指标。 否

步骤六：创建跨域连接 云间高速跨域连接的创建，具体操作请参见：创建跨域连接云间高速 步骤七：测试连通性 VPC1、VPC2、VPC3之间已经可以互相通信，您可以通过以下操作测试VPC之间的连通性。 1. 测试VPC1和VPC2之间的连通性。 a) 登录VPC1的云主机实例。 b) 在VPC1的云主机实例中执行ping命令，尝试访问VPC2的云主机实例。 ping 2. 测试VPC3和VPC1之间的连通性。 a) 登录VPC3的云主机实例。 b) 在VPC3的云主机实例中执行ping命令，尝试访问本地IDC的服务器。 ping 3. 测试VPC3和VPC2之间的连通性。 a) 登录VPC3的云主机实例。 b) 在VPC3的云主机实例中执行ping命令，尝试访问VPC2的服务器。 ping 如果VPC3和VPC2之间网络已连通，那么可以实现资源互访。

本节介绍了分布式消息服务RabbitMQ产品实例如何购买。 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 实例规格选择说明 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

黑产挖矿的特点 1.系统的脆弱越少，被植入挖矿概率就越低 只要提升系统的安全系数，可以攻破对应系统的挖矿病毒种类就会减少：不同挖矿病毒的横向能力往往是参差不齐的。例如：H2Miner挖矿病毒一般就只会通过ssh弱密码进行横向扩散。如果系统不存在ssh弱密码，就不会被该种病毒入侵。但HolesWarm、LemonDuck等挖矿病毒可以利用几十乃至近百种不同的漏洞横向自身。 所以只要提升系统的安全系数，可以攻破对应系统的挖矿病毒种类就会减少，系统中挖矿的概率也会减小。而且如果希望确保系统不中挖矿，则需要对系统的安全做持续的监控、运维。 2.隐蔽性高，进化快 由于不法分子的最终目的是将挖矿持久的留在系统中，所以会采用各种各样的手段确保挖矿病毒不被发现：包括但不限于，破坏系统自带的进程查看软件，让其不显示挖矿进程和cpu占用；限制自身只使用50%的cpu（仍会对业务产生较大影响）；在系统各处留下”不死马”，让自身很难被删除等。 同时，不法分子在不断分析安全软件，不断通过新技术绕过旧的检测逻辑。例如2020年之前，一种常见的检测逻辑是：检测进程是否和矿池ip通信。这种结合了威胁情报的检测可以有效针对挖矿病毒的变种。但是2021年后的一个大趋势是：挖矿病毒不直接和矿池通信了，而是通过访问各种各样的代理去连接矿池。这就导致该检测逻辑的可靠性下降。只能靠漏洞利用痕迹、行为特征等去进一步判断。 3.动态对抗 由于上面提到的特点2（挖矿病毒的隐蔽性高，进化快），挖矿病毒的检测往往是一件动态对抗的事情，理论上再巧妙精确的检测规则都有被绕过的可能。然后安全人员可能会去分析不法分子通过哪些行为特征进行的绕过，再去对这些绕过特征做检测，直到不法分子再次发明新的绕过姿势的检测绕过姿势，安全人员再对绕过姿势的检测绕过姿势进行检测.....这种对抗会一直持续。 即使所有规则都有被绕过的可能，但例如使用了多锚点的检测技术，往往能最大程度的确保系统不会存在未被发现的挖矿。多锚点就是对病毒的从入侵到横向的每个环节和特征，都去进行检测，可能中间会有4~7层检测逻辑。精心构筑的挖矿病毒绕过其中一层相对容易，但如果想绕过所有层的检测逻辑，是一件非常困难的事情。

本章节主要介绍如何扩容集群。 MRS的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 MRS集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。 操作步骤 1.登录MRS管理控制台。 2.选择 “集群列表 > 现有集群” ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。 只有运行中的集群才能进行扩容操作。 4.设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考添加Task节点配置Task节点。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

名字 类型 说明 示例 ID String 节点服务中转规则ID endpointServiceID String 终端节点关联的终端节点服务 endpointID String 节点id transitIPAddress String 中转ip地址 transitPort Integer 中转端口,1到65535 8080 protocol String TCP:TCP协议,UDP:UDP协议 targetIPAddress String 目标ip地址 targetPort Integer 目标端口,1到65535 9090 createdAt String 创建时间 updatedAt String 更新时间

查看诊断结果 在故障诊断页面诊断列表的操作列，点击目标诊断报告对应的诊断详情，在诊断详情页面查看详细诊断结果，诊断项状态为异常时，需要确认，如果是引起集群异常的问题需要处理。 注意 根据集群配置，具体检查项可能稍有不同。实际结果请以诊断页面结果为准。 支持的诊断项 诊断维度 诊断项 说明 修复方案 Service 检查Service后端Ready Pod数量 检查Service后端Ready Pod数量。 检查业务Pod状态，保证Pod存在且处于Ready状态。 Service 检查Service是否存在异常事件 检查集群中是否存在与该Service相关的异常事件。 请检查并处理Service异常事件中的描述信息，若无法处理，请提交工单。 节点 检查节点是否存在 检查集群中是否存在该节点。 请检查Node在集群中是否存在。 节点 检查节点状态是否Ready 检查节点在集群中的状态是否为Ready。 请登录到节点上执行systemctl status kubelet或journalctl exu kubelet查看节点上kubelet进程异常日志并尝试修复。 节点 检查节点状态是否不可调度 检查节点是否不可调度，不可调度的节点会影响Pod的正常运行。 节点不可调度，请检查节点调度设置。 节点 检查节点CPU装载率是否过高 检查节点CPU资源分配率是否过高。 请检查节点上pod的CPU request值设置的合理性。 节点 检查节点内存装载率是否过高 检查节点内存资源分配率是否过高。 请检查节点上pod的Memory request值设置的合理性。 节点 检查节点磁盘压力 检查节点磁盘使用率是否过高。 请检查节点磁盘使用情况，及时清理磁盘中不需要的文件或扩容磁盘。 节点 检查节点PID压力 检查节点PID使用率是否过高。 请检查节点PID使用情况。 节点 检查节点Chronyd进程状态是否正常 检查节点Chronyd进程是否异常，该进程异常可能会影响系统时钟同步。 节点Chronyd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart chronyd重启节点Chronyd进程。 节点 检查节点Ntpd进程状态是否正常 检查节点Ntpd进程是否异常，该进程异常时可能会影响系统时钟同步。 节点Ntpd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart ntpd重启节点Ntpd进程。 节点 检查节点Containerd状态是否正常 检查节点Containerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Containerd状态异常，请收集节点日志并提交工单处理。 节点 检查节点Containerd镜像拉取是否正常 检查节点Containerd进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Docker状态是否正常 检查节点Dockerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Docker状态异常，请收集节点日志并提交工单处理。 节点 检查节点Docker镜像拉取是否正常 检查节点Docker进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 节点 检查节点Kubelet状态是否正常 检查节点Kubelet服务的状态，该进程可能会影响Pod的正常运行。 请检查节点kubelet日志。 节点 检查节点Kubelet启动时间 检查节点Kubelet进程启动时间。 无 节点 节点OS版本 检查节点操作系统版本。 无 节点 节点内核版本 检查节点内核版本是否过低，内核版本过低可能造成系统异常。 请尝试更换节点升级内核。 节点 节点Systemd版本 检查节点systemd版本。 无 节点 节点runc版本 检查节点runc版本，runc版本过低可能造成系统异常。 无 节点 节点系统时间 检查节点系统时间。 无 节点 节点硬件时间 检查节点硬件时间。 无 节点 节点硬件时间漂移 检查节点硬件时钟与系统时间是否一致，时间相差超过2分钟可能引起组件异常。 请尝试登录节点，通过命令hwclock systohc将节点系统时间同步到硬件时间。 节点 检查节点内存交换区开启情况 检查节点内存交换区 (Memory Swap) 功能是否开启，K8s默认要求关闭内存交换区。 当前节点内存交换区 (Memory Swap) 功能不支持开启，请登录节点关闭该功能。 节点 检查Conntrack表使用情况 检查节点Conntrack表是否满，Conntrack表满可能影响网络性能。 请检查nfconntrackbuckets和nfconntrackmax内核参数。 节点 检查节点访问集群API Server是否正常 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 节点 节点DNS服务地址 检查节点能否正常使用主机DNS服务，通过主机DNS服务解析集群外域名。 请检查主机DNS服务是否正常。更多信息，请参见DNS解析异常问题排查。 节点 检查节点内网IP是否存在 检查节点内网IP是否存在。 节点内网IP不存在，请尝试移除节点后重新导入。 节点 检查节点能否访问公网 检查节点能否正常访问公网，无法访问公网可能影响公网镜像拉取。 请检查集群是否开启SNAT公网访问。 节点 节点CPU使用率 检查节点CPU负载是否过高，CPU负载过高可能影响系统性能。 无 节点 节点内存使用率 检查节点内存负载是否过高，内存过高可能影响系统性能。 无 Pod 检查Pod是否存在 检查集群中是否存在该Pod。 请检查Pod在集群中对应命名空间下是否存在。 Pod 检查Pod状态是否为Running 检查Pod是否处于Running状态。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 Pod Pod容器重启次数统计 统计Pod中容器重启次数。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 Pod 检查Pod容器是否存在镜像下载阻塞情况 检查Pod容器对应的镜像下载被阻塞。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 Pod 检查Pod容器镜像Secrets是否有效 检查Pod拉取镜像的Secrets是否有效。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 Pod 检查Pod到主机网络DNS服务器的连通性 检查Pod到主机网络DNS服务器的连通性。 请检查Pod到主机网络DNS服务器的连通性。 Pod 检查Pod容器进程处于D状态检查 检查Pod内的容器进程是否处于D状态。 Pod的部分容器进程处于D状态，通常为容器进程卡在磁盘IO中，请尝试重启宿主机ECS，如仍无法恢复，请提交工单处理。 Pod 检查Pod是否初始化成功 检查Pod是否正常初始化。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 Pod 检查Pod是否处于调度中状态 检查Pod是否正常调度。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 Pod 检查Pod是否配置了livenessProbe探针 检查Pod描述文件是否配置了livenessProbe探针。 请为Pod配置合适的livenessProbe健康检查。 Pod 检查Pod是否配置了ReadinessProbe探针 检查Pod描述文件是否配置了ReadinessProbe探针。 请为Pod配置合适的readinessProbe健康检查。 Pod 检查Pod是否配置了资源requests 检查Pod描述文件是否配置了资源requests。 请为Pod配置合适的request资源申请。 Pod 检查Pod是否配置了资源limits 检查Pod描述文件否配置了资源limits。 请为Pod配置合适的limit资源限制。 Pod 检查Pod在过去24小时内是否存在OOM Kill情况 检查Pod在过去24小时内是否存在因内存过载而被Kill的情况。 请检查Pod是否配置了合适的limit资源限制，同时检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 Ingress 检查Ingress是否存在 检查与转发规则匹配的Ingress是否存在。 检查所提供的URL信息是否有能够对应的Ingress规则。若URL信息无误，可能是Ingress规则存在问题。 Ingress 检查Ingress名称规范 检查所匹配到的Ingress名称是否规范。 无 Ingress 检查是否使用了nginx.ingress.kubernetes.io/sessioncookiehash废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/sessioncookiehash注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/baseurlscheme废弃注解 检查是否使用了在0.22.0版本废弃的nginx.ingress.kubernetes.io/baseurlscheme注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/securebackends废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/securebackends注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.com/nginx.org注解 检查是否使用了不兼容社区版Nginx Ingress Controller的商业版Ingress注解key（以nginx.com/nginx.org开头）。 请使用对应功能的正确用法。关于Ingress更多信息，请参见社区官方文档Nginx Ingress Controller。(引用到官方文档) Ingress 检查是否使用了nginx.ingress.kubernetes.io/grpcbackend废弃注解 检查是否使用了在0.21.0版本废弃的nginx.ingress.kubernetes.io/grpcbackend注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否使用了nginx.ingress.kubernetes.io/mirroruri废弃注解 检查是否使用了在0.24.0版本废弃的nginx.ingress.kubernetes.io/mirroruri注解key。 确认当前Ingress Controller版本，移除该注解或使用其他注解代替。 Ingress 检查是否启用了canary 使用了nginx.ingress.kubernetes.io/canary相关注解，但value值为"false‘，如果需要使用灰度功能，请指定nginx.ingress.kubernetes.io/canary: "true"。 如果您需要在该Ingress上开启Canary功能，请在Ingress规则上添加nginx.ingress.kubernetes.io/canary: "true"注解。 Ingress 检查Ingress是否存在异常事件 检查集群中是否存在与该Ingress相关的异常事件。 检查并处理异常事件描述信息中的报错，如无法解决，请提交工单处理。

步骤五：测试连通性 VPC1、VPC2、本地IDC之间已经可以互相通信，您可以通过以下操作测试VPC与VPC、VPC与本地IDC之间的连通性。 1. 测试VPC1和VPC2之间的连通性。 a) 登录VPC1的云主机实例。 b) 在VPC1的云主机实例中执行ping命令，尝试访问VPC2的云主机实例。 ping 2. 测试VPC1和本地IDC之间的连通性。 a) 登录VPC1的云主机实例。 b) 在VPC1的云主机实例中执行ping命令，尝试访问本地IDC的服务器。 ping 当VPC1和本地IDC之间的网络已经连通，可以实现资源互访，我们即可在两个网络之间自由地传输数据，并且不需要进行任何额外的配置。 3. 测试VPC2和本地IDC之间的连通性。 a) 登录VPC2的云主机实例。 b) 在VPC2的云主机实例中执行ping命令，尝试访问本地IDC的服务器。 ping 如果VPC2和本地IDC之间网络已连通，那么可以实现资源互访。

操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 5. 单击目标策略名称，进入目标策略的防护配置页面。 6. 在“网站反爬虫”配置框中，用户可根据自己的需要更改网站反爬虫的“状态”，单击“BOT设置”，进入网站反爬虫规则配置页面。 7. 选择“特征反爬虫”页签，根据您的业务场景，开启合适的防护功能。 特征反爬虫规则提供了两种防护动作： 拦截:发现攻击行为后立即阻断并记录。 注意 开启拦截后，可能会有以下影响： 拦截搜索引擎请求，可能影响网站的搜索引擎优化。 拦截脚本工具，可能会影响部分APP访问（部分APP的UserAgent未做修改，会匹配脚本工具类爬虫规则）。 仅记录：默认防护动作，发现攻击行为后只记录不阻断攻击。 默认开启“扫描器”防护检测，用户可根据业务需要，配置防护动作并开启其他需要防护的检测类型。 特征反爬虫检测项说明： 检测项 说明 功能说明 搜索引擎 搜索引擎执行页面内容爬取任务，如Googlebot、Baiduspider。 开启后，WAF将检测并阻断搜索引擎爬虫。 说明 如果不开启“搜索引擎”，WAF针对谷歌和百度爬虫不会拦截。 扫描器 执行漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap。 开启后，WAF将检测并阻断扫描器爬虫。 脚本工具 用于执行自动化任务、程序脚本等，如httpclient、okhttp、python程序等。 开启后，WAF将检测并阻断执行自动化任务、程序脚本等。 说明 如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具，建议您关闭“脚本工具”，否则，WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫，拦截该应用程序。 其他爬虫 各类用途的爬虫程序，如站点监控、访问代理、网页分析等。 说明 “访问代理”是指当网站接入WAF后，为避免爬虫被WAF拦截，爬虫者使用大量IP代理实现爬虫的一种技术手段。 开启后，WAF将检测并阻断各类用途的爬虫程序。 8. 选择“JS脚本反爬虫”页签，用户可根据业务需求更改JS脚本反爬虫的“状态”。 默认关闭JS脚本反爬虫，单击，在弹出的“警告”提示框中，单击“确定”，开启JS脚本反爬虫。 说明 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 9. 根据业务配置JS脚本反爬虫规则。 JS脚本反爬虫规则提供了“防护所有请求”和“防护指定请求”两种防护动作。 除了指定路径以外，防护其他所有路径：“防护模式”选择“防护所有请求”，单击“添加排除请求规则”，配置防护路径后，单击“确认”。 只防护指定路径时：“防护模式”选择“防护指定请求”，单击“添加请求规则”，配置防护路径后，单击“确认”。 JS脚本反爬虫防护规则参数说明： 参数 参数说明 示例 规则名称 自定义规则名称。 wafjs 路径 设置JS脚本反爬虫的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 /admin 逻辑 在“逻辑”下拉列表中选择需要的逻辑关系。 包含 规则描述 规则备注信息。

本文为您介绍轻量型云主机对云硬盘的支持情况。 云硬盘 云硬盘是一种可弹性扩展的块存储设备，可以为计算产品提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。用户可以在线操作及管理云硬盘，并可以像使用传统服务器硬盘一样，对挂载到云主机的云硬盘做格式化、创建文件系统等操作。 云硬盘类型 云硬盘性能的主要指标包括： IOPS：云硬盘每秒进行读写的操作次数。 吞吐量：云硬盘每秒成功传送的数据量，即读取和写入的数据量。 IO读写时延：云硬盘处理一个读写IO需要的时间。 目前，轻量型云主机系统盘提供高IO类型的云硬盘，数据盘支持普通IO、高IO、通用SSD、超高IO高类型的云硬盘。各种类型的云盘性能如下，详情可查看磁盘类型及性能介绍。 参数 超高IO 通用型SSD 高IO 普通IO 单个云盘最大IOPS 50,000 20,000 5,000 2,000 单盘IOPS性能计算公式（基准性能），公式中容量单位为GB min{1,800+50×容量，50,000} min{1,500+8×容量，20,000} min{1,800+8×容量，5,000} min{300+2×容量，2,000} IOPS突发上限 16,000 8,000 5,000 2,000 单盘最大吞吐量 350 250 200 150 单盘吞吐量计算公式（基准性能，MB/s），公式中容量单位为GB min{120+0.5×容量，350} min{100+0.5×容量，250} min{130+0.1×容量，200} min{100+0.1×容量，150} 单队列平均访问时延（ms），Block Size4K 1 1 1~3 5~10 说明 1. 超高IO最大IOPS为50,000的资源池为：华东1、上海36、青岛20、武汉41、南宁23、华北2、南昌5、西南1、华南2、西安7、太原4、郑州5、西南2贵州、杭州7、长沙42（可用区1）。其他资源池支持的最大IOPS为33,000，单个云硬盘IOPS计算公式为：min{1,800+30×容量，33,000}。 2. 单个云硬盘的最大IOPS、IOPS突发上限、单个云硬盘的最大吞吐量三个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 3. 以单个超高IO云硬盘吞吐量计算公式为例说明：起步120MB/s，每GB增加0.5MB/s，上限为350MB/s。 4. 以单个通用型SSD云硬盘IOPS计算公式为例说明：起步1,500，每GB增加8，上限为20,000。 5. 单队列访问时延：单队列指队列深度为1，即并发度为1。表中时延指所有IO请求串行处理时IO的时延，表格中数据是4KB数据块能达到的时延。云硬盘性能测试方法请参见 6. 通用型SSD、超高IO云硬盘挂载至小规格的轻量云主机（如1vCPU、2vCPU等）时，磁盘性能可能会受到影响。

操作场景 初次使用的云容灾网关及容灾机器，需要配置。 前提条件 云容灾网关建议起始规格为8U16G，操作系统只支持Linux，建议参考支持的操作系统版本。 云容灾网关服务器所在的区域、可用区、VPC 需要和生产站点服务器保持一致。 云容灾网关和代理客户端建议放在同一安全组内，安全组配置为仅允许安全组内弹性云主机互通。 操作步骤 以下操作以配置“24.6.0”版本的容灾网关“sdrslinuxamd6424.6.0.20240627203949.tar.gz”为例。 在/opt/cloud/sdrs目录下，执行以下命令，配置云容灾网关。 sh registergateway.sh 执行脚本 1. 跨AZ场景配置参数： 参数 参数说明 获取方法 参数示例 DR Scene 复制场景 1 云平台跨AZ容灾 2 云平台跨Region容灾 1 source platform type 生产云平台类型 请联系管理员获取。 source project id 生产区域项目ID 在生产区域控制台“我的凭证”页面，查看“项目ID”。 51af777371904892a49a0c3e3e53de44 source region code 生产区域的Region ID 通过地区和终端节点页面查询。 source ecs endpoint 生产区域ECS终端节点 通过地区和终端节点页面查询。 source evs endpoint 生产区域EVS终端节点 通过地区和终端节点页面查询。 source iam ak 生产区域访问密钥ID 获取方式见API参考中的认证鉴权。 RZSAMHULWKKE71N0XHUT source iam sk 生产区域访问密钥 获取方式见API参考中的认证鉴权。 K7bXplAT0pEpy4SAiN2fHUwEtxvgmK3IqyhqnMTA target sdrs endpoint 容灾区域SDRS服务终端节点 通过地区和终端节点页面查询。 sdrs.region1.xxxx.com 2. 跨region场景配置参数： 参数 参数说明 获取方法 参数示例 DR Scene 复制场景 1 云平台跨AZ容灾 2 云平台跨Region容灾 2 source platform type 生产区域云平台类型 请联系管理员获取。 source project id 生产区域项目ID 在控制台“我的凭证”页面，查看“项目ID”。 51af777371904892a49a0c3e3e53de44 source region code 当前区域的Region ID 通过地区和终端节点页面查询。 source ecs endpoint 生产区域ECS终端节点 通过地区和终端节点页面查询。 source evs endpoint 生产区域EVS终端节点 通过地区和终端节点页面查询。 source iam ak 生产区域访问密钥ID 获取方式见API参考中的认证鉴权。 source iam sk 生产区域访问密钥 获取方式见API参考中的认证鉴权。 target sdrs endpoint 容灾区域SDRS服务终端节点 通过地区和终端节点页面查询。 sdrs.region1.xxxx.com target platform type 容灾区域云平台类型 请联系管理员获取。 target project id 容灾区域项目ID 在控制台“我的凭证”页面，查看“项目ID”。 51af777371904892a49a0c3e3e53de44 target iam ak 容灾区域访问密钥ID 获取方式见API参考中的认证鉴权。 target iam sk 容灾区域访问密钥 获取方式见API参考中的认证鉴权。

本文主要介绍云硬盘服务支持审计的关键操作 云硬盘服务（Elastic Volume Service，以下简称EVS）是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。您可以在线进行操作，使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。 通过云审计服务，您可以记录与云硬盘相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的EVS操作列表 操作名称 资源类型 事件名称 创建磁盘 evs createVolume 更新磁盘 evs updateVolume 扩容磁盘 evs extendVolume 删除磁盘 evs deleteVolume 说明 表2中EVS的操作，为底层（OpenStack）服务触发；部分事件名称与表1重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表1中描述的事件。 表 云审计服务支持的EVS操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建卷 volumes createVolumes 创建type types createTypes 创建快照 snapshots createSnapshots 创建备份 backups createBackups 创建一致性组 consistencygroups createConsistencygroups 创建快照一致性组 cgsnapshots createCgsnapshots 创建qosspecs qosspecs createQosspecs 创建卷传递 osvolumetransfer createOsvolumetransfer 添加卷快照的元数据 snapshots createSnapshotsMetadata 添加卷的元数据 volumes createVolumesMetadata 为卷类型创建新的扩展参数 types createTypesExtraspecs 导入卷备份记录信息 backups createBackupsImportrecord 恢复卷备份 backups createBackupsRestore 强制删除卷 volumes volumesOsforcedelete 挂载卷 volumes volumesOsattach 卸载卷 volumes volumesOsdetach 保留卷 volumes volumesOsreserve 预卸载卷 volumes volumesOsbegindetaching 回滚预卸载卷 volumes volumesOsrolldetaching 挂卷初始化连接 volumes volumesOsinitializeconnection 卸卷断开连接 volumes volumesOsterminateconnection 卷上传镜像 volumes volumesOsvolumeuploadimage 扩容卷 volumes volumesOsextend 取消保留卷 volumes volumesOsunreserve 设置为为只读 volumes volumesOsupdatereadonlyflag 更改卷的卷类型 volumes volumesOsretype 设置卷为可启动卷 volumes volumesOssetbootable 强制删除快照 snapshots volumesOsforcedelete 删除卷 volumes deleteVolumes 删除类型 types deleteTypes 删除卷快照 snapshots deleteSnapshots 删除备份 backups deleteBackups 删除卷快照的单个元数据 snapshots deleteSnapshotsSingleMetadata 删除一致性组 consistencygroups createConsistencygroupsDelete 删除快照一致性组 cgsnapshots deleteCgsnapshots 删除qosspecs qosspecs deleteQosspecs 删除卷传递过程 osvolumetransfer deleteOsvolumetransfer 删除卷的单个元数据 volumes deleteVolumesSingleMetadata 更新快照信息 snapshots updateSnapshots 更新卷 volumes updateVolumes 更新租户的配额信息 osquotasets updateOsquotasets 更新租户的配额等级 osquotaclasssets updateOsquotaclasssets 替换卷快照的元数据 snapshots updateSnapshotsMetadata 替换卷的元数据 volumes updateVolumesMetadata 更新一致性组 consistencygroups updateConsistencygroupsUpdate 更新卷的单个元数据 volumes updateVolumesSingleMetadata 更新卷快照的单个元数据 snapshots updateSnapshotsSingleMetadata

数据库SQL开发规范 在程序中，建议使用预编译语句进行数据库操作。预编译只编译一次，以后在该程序中就可以调用多次，比SQL效率高。 避免数据类型的隐式转换，隐式转换会导致索引失效。禁止在WHERE从句中对列进行函数转换和计算，会导致索引失效。 避免使用双%号或前置%号的查询条件，这样无法利用到索引。 禁止在查询中使用SELECT 语句。原因如下： 使用SELECT 会消耗更多的CPU和IP以及网络带宽资源。 使用SELECT 无法使用覆盖索引。 不使用SELECT 可以减少表结构变更对代码带来的影响。 避免使用子查询，子查询会产生临时表，临时表没有任何索引，数据量大时严重影响效率。建议把子查询转化成关联查询。 避免使用JOIN关联太多的表，建议不要超过5个表的JOIN操作。需要JOIN的字段，数据类型必须绝对一致。每JOIN一个表会多占用一部分内存（由 joinbuffersize 控制），会产生临时表操作，影响查询效率。避免使用自然连接（NATURAL JOIN）。 尽量减少同数据库的交互次数，数据库更适合处理批量操作。 使用IN代替OR IN操作可以有效的利用索引，IN的值不要超过500个。 不使用反向查询，如：NOT IN、NOT LIKE。 禁止使用 ORDER BY RAND() 进行随机排序。该操作会把表中所有符合条件的数据装载到内存中进行排序，消耗大量的CPU和IO及内存资源。推荐在程序中获取一个随机值，然后根据随机值从数据库获取数据。 在不需要去重的情况下，要使用UNION ALL代替UNION。UNION ALL不需要对结果集再进⾏行排序。 合并多个相同操作到一起，可以提高处理效率，数据库更适合处理批量操作。通过批量操作减少同数据库交互次数。 超过100万行的批量写操作，要分批多次进行操作。大批量写操作可能会造成严重的主从延迟。 如果有ORDER BY的场景，请注意利用索引的有序性： ORDER BY最后的字段是组合索引的一部分，并且放在索引组合顺序的最后。 避免出现filesort的情况，影响查询性能。 正例：WHERE a? and b? ORDER BY c;，索引：abc。 反例：索引中有范围查找，那么索引有序性无法利用，如：WHERE a>10 ORDER BY b;，索引ab无法排序。 尽量使用ANSI SQL标准语法进行DML操作，而不是用MySQL扩展的SQL语法。常见的MySQL扩展SQL语法有： REPLACE INTO。 INSERT ... ON DUPLICATE KEY UPDATE。 不建议使用存储过程，存储过程难以调试和扩展，更没有移植性。 不建议使用触发器，事件调度器（event scheduler）和视图实现业务逻辑，这些业务逻辑应该在业务层处理，避免对数据库产生逻辑依赖。 不建议使用大事务，业务允许的情况下，事务里包含SQL语句越少越好，尽量不超过5个。因为过长的事务会导致锁数据较久，以及MySQL内部缓存、连接消耗过多等问题。 TRUNCATE TABLE比DELETE速度快，且使用的系统和日志资源少，如果删除的表上没有TRIGGER，且进行全表删除，建议使用TRUNCATE TABLE。

执行基线检测 定时执行基线检测 基线策略设置完成后，定时检测设置完成，系统会根据已设置的基线策略定时进行检测。 手动执行基线检测 若您需要一键检测时，选择需要检测的基线策略，并点击“一键扫描”，系统即开始执行本次检测任务。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 在左侧的下拉框中选择需要使用的基线检测策略，然后单击“一键扫描”。 4. 在弹出的提示框中单击“确定”，立即开始扫描。 查看基线检测结果 当一键检测或定时检测完成后，会展示本次基线检测结果。 若检测成功，则会提示“执行完毕”；否则提示“执行失败”。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 查看基线检测统计信息 页面上方展示基线检测的统计情况和基线检测策略设置。 统计情况包括检测服务器数、基线检测项、风险项、通过率。通过率所有成功主机通过项之和÷（所有成功主机检测通过项+所有成功主机风险项）×100%。 选定一个基线策略后，展示该策略上一次基线检测结果完成后的统计数据。切换基线策略后，显示切换后的基线检测统计结果。 查看基线检测结果列表 列表可通过基线名称查询。 若本次检测成功，基线检测结果会在列表中展示，包括基线名称、基线检测项、风险项、影响资产数、最后检测时间。 当该基线检测通过 时，风险项 展示为“无风险”、影响资产数量展示为“0”。 当该基线检测未通过 时，风险项 展示为具体风险等级及数量、影响资产数量展示为具体服务器数量。 若本次检测失败，则展示“检测失败”，基线检测结果列表只展示表头，检测结果为空。 查看基线检测详情 点击基线列表操作列的“详情”，跳转到基线检测详情页面。 可以查看本基线中所有服务器具体的检测情况，包括服务器、通过项、风险项。 整个列表可以根据风险等级、服务器名称、服务器IP、服务器UUID进行查询。 查看某台服务器的基线检测结果 点击基线检测详情页操作列中的“详情”，可以查看该基线名称下该台服务器的检测详情。 可以查看检查项、状态、最后检测时间和操作。 整个列表可以基于风险等级、状态进行筛选。 查看基线检查项修复建议 在未通过的检查项，单击箭头图标，可以查看修复建议。

配置项 说明 域名 填写需要接入WAF的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn1）。域名需要完成ICP备案并且域名需要进行 源站 支持IP或域名，支持配置多个源站地址。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购基础版以上版本，通过 请求协议 支持选择HTTP和HTTPS，如果是HTTPS协议，需要上传HTTPS证书。添加证书页面如下： 服务端口 http协议默认服务端口为80，https协议默认服务端口为443，专业版和旗舰版支持配置服务特殊端口。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。自定义配置时，请确保您的源站有配置相应的HOST。 HTTP回源端口 当源站同时服务多个站点，且回源站点与服务域名不同时，您需要配置回源HOST，天翼云WAF产品在回源时会根据配置的回源HOST信息去访问对应站点。源站和回源HOST的区别： 源站：指您的业务所部署的服务器地址，回源时会访问该服务器地址获取资源。 回源HOST：指全站加速回源请求头携带的回源HOST信息，回源请求会访问回源HOST对应的具体站点。注意事项： 对于普通域名（精准域名），回源HOST默认为加速域名。 对于泛域名，回源HOST默认为实际访问的子域名。例如，泛域名是 .ctyunexample.com1，如果通过example.ctyunexample.com1访问时，回源HOST即为example.ctyunexample.com1。 跟随请求端口回源 如果跟随请求端口回源开关开启，则使用请求服务端口回源。