在LTS上查看WAF防护日志 当您将WAF防护日志配置记录到LTS上后，请参考以下操作步骤，在LTS管理控制台查看、分析记录的WAF日志数据。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“管理与部署> 云日志服务”，进入“日志管理”页面。 4. 在日志组列表中，单击展开图标展开waf日志组（例如，“ltsgroupwaf”）。 5. 查看WAF防护日志。 WAF访问日志accesslog字段说明 字段 类型 字段说明 描述 accesslog.requestid string 随机ID标识 与攻击日志的“reqid” 字段末尾8个字符一致。 accesslog.time string 访问请求的时间 日志内容记录的GMT时间。 accesslog.connectionrequests string 标识该长链接第几个请求 accesslog.engip string WAF引擎IP accesslog.pid string 标识处理该请求的引擎 引擎（worker PID）。 accesslog.hostid string 访问请求的域名标识 防护域名ID(upstreamid)。 accesslog.tenantid string 防护域名的租户ID 一个账号对应一个租户ID。 accesslog.projectid string 防护域名的项目ID 用户在对应区域下的项目ID。 accesslog.remoteip string 标识请求的四层远端IP 请求的客户端IP。 说明 如果在WAF前部署了7层代理，本字段表示最靠近WAF的代理节点的IP地址。此时，真实访问者IP参考“xforwardedfor”，“xrealip”字段。 accesslog.remoteport string 标识请求的四层远端端口号 请求的客户端端口号。 accesslog.sip string 标识请求的客户端IP 如，XFF等。 accesslog.scheme string 请求协议类型 请求所使用的协议有： http https accesslog.responsecode string 请求响应码 源站返回给WAF的响应状态码。 accesslog.method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 accesslog.httphost string 请求的服务器域名 浏览器的地址栏中输入的地址，域名或IP地址。 accesslog.url string 请求URL URL链接中的路径（不包含域名）。 accesslog.requestlength string 请求的长度 包括请求地址、HTTP请求头和请求体的字节数。 accesslog.bytessend string 发送给客户端的总字节数 WAF返回给客户端的总字节数。 accesslog.bodybytessent string 发送给客户端的响应体字节数 WAF返回给客户端的响应体字节数。 accesslog.upstreamaddr string 选择的后端服务器地址 请求所对应的源站IP。例如，WAF回源到ECS，则返回源站ECS的IP。 accesslog.requesttime string 标识请求处理时间 从读取客户端的第一个字节开始计时（单位：s）。 accesslog.upstreamresponsetime string 标识后端服务器响应时间 后端服务器响应WAF请求的时间（单位：s）。 accesslog.upstreamstatus string 标识后端服务器的响应码 后端服务器返回给WAF的响应状态码。 accesslog.upstreamconnecttime string 源站与后端服务建立连接的时间，单位为秒。 在使用SSL的情况下，握手过程所消耗的时间也会被记录下来。多次请求建立的时间，使用逗号分隔。 accesslog.upstreamheadertime string 后端服务器接收到第一个响应头字节的用时，单位为秒。 多次请求响应的时间，使用逗号分隔。 accesslog.bindip string WAF引擎回源IP WAF引擎所使用的回源IP。 accesslog.groupid string 对接LTS服务的日志组ID WAF对接云日志服务日志组ID。 accesslog.accessstreamid string 日志流ID 与“groupid”相关，是日志组下用户的accessstream的ID。 accesslog.engineid string WAF引擎标识 WAF引擎的唯一标识。 accesslog.timeiso8601 string 日志的ISO 8601格式时间 accesslog.sni string 通过SNI请求的域名 accesslog.tlsversion string 建立SSL连接的协议版本 请求所使用的TLS协议版本。 accesslog.sslcurves string 客户端支持的曲线列表 accesslog.sslsessionreused string SSL会话是否被重用。 表示SSL会话是否被重用。 r：是 .：否 accesslog.processtime string 引擎的检测用时（单位：ms） accesslog.args string 标识URL中的参数数据 accesslog.xforwardedfor string 当WAF前部署代理时，代理节点IP链 代理节点IP链，为1个或多个IP组成的字符串。 最左边为最原始客户端的IP地址，代理服务器每成功收到一个请求，就将请求来源IP地址添加到右边。 accesslog.cdnsrcip string 当WAF前部署CDN时CDN识别到的客户端IP 当WAF前部署CDN时，此字段记录的为CDN节点识别到的真实客户端IP。 说明 部分CDN厂商可能使用其他字段，WAF仅记录最常见的字段。 accesslog.xrealip string 当WAF前部署代理时，真实的客户端IP 代理节点识别到的真实客户端IP。 accesslog.intelcrawler string 用于情报反爬虫分析 accesslog.sslciphersmd5 string 标识sslciphers的md5值 accesslog.sslcipher string 标识使用的sslcipher accesslog.webtag string 标识网站名称 accesslog.useragent string 标识请求header中的useragent accesslog.upstreamresponselength string 标识后端响应的大小 accesslog.regionid string 标识请求所属Region accesslog.enterpriseprojectid string 标识请求域名所属企业项目ID accesslog.referer string 标识请求头中的Referer内容 最大长度为128字符，大于128字符会被截断。 accesslog.rule string 标识请求命中的规则 命中多条规则此处也只会显示一条。

指纹 描述 端口 展示所有服务器中开放的端口列表，帮助用户及时发现主机中的危险端口。 端口信息包括：服务器、操作系统、端口号、高危端口、网络协议、监听IP、监听进程、进程PID、最后更新时间。 可以按照端口号、是否高危端口、服务器名称、服务器IP进行搜索。 账户 展示所有服务器中的账号信息，帮助用户进行账户安全性管理。 账号信息包括：服务器、操作系统、用户名、设置密码、管理员权限、用户组、到期时间、上次登陆时间、上次登陆IP、用户目录、用户启用Shell、UID/SID、最后更新时间。 可以按照用户名、服务器名称、服务器IP进行搜索。 进程 展示所有服务器中正在运行的进程信息，帮助用户及时发现服务器中异常的进程。 进程信息包括：服务器、操作系统、进程名、进程路径、文件MD 、进程状态、启动参数、运行用户、进程PID、父进程、文件权限、进程启动时间、最后更新时间。 可以按照进程名、服务器名称、服务器IP进行搜索。 软件应用 展示所有服务器中的软件应用信息，帮助用户清点软件资产，识别出服务器中不安全的软件。 软件应用信息包括：服务器、操作系统、软件名称、软件版本、安装时间、最后更新时间。 可以按照软件名称、服务器名称、服务器IP进行搜索。 中间件 展示所有服务器中的软件应用信息，帮助用户清点中间件资产。 中间件信息包括：服务器、中间件名称、类型、运行时环境版本、版本、PID、启动路径、版本验证信息、父进程PID、运行用户、监听IP、监听端口、监听状态、监听端口协议、启动时间、启动命令行、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、版本、运行用户进行搜索。 数据库 展示所有服务器中的数据库信息，帮助用户清点数据库资产。 数据库信息包括：数据库类型、数据库版本、PID、父进程PID、启动路径、版本验证信息、监听端口、监听状态、监听端口配置路径、最后更新时间。 可以按照运行用户、版本、端口、进程PID、服务器名称进行搜索。 计划任务 展示所有服务器中的计划任务信息，帮助用户了解各服务器后续会进行的任务信息。 计划任务信息包括：服务器、执行命令、任务周期、MD5、执行用户、配置文件路径、最后更新时间。 可以按照服务器名称/服务器IP、执行用户进行搜索。 自启动项 展示所有服务器中的自启动项，帮助用户及时发现服务器中异常的自启动项。 自启动项信息包括：自启动项名称、启动项路径、类型、最后更新时间。 可以按照自启动项名称、服务器名称、服务器IP进行搜索。 内核模块 展示所有服务器中的内核模块，帮助用户了解内核模块的具体信息。 内核模块信息包括：服务器、模块名称、模块大小、模块路径、被依赖进程数、被依赖的模块数、最后更新时间。 可以按照服务器名称/服务器IP、模块名称进行搜索。 Web服务 展示所有服务器中的Web服务，帮助用户及时发现服务器中异常的Web服务。 Web服务信息包括：服务器、操作系统、Web服务名、版本、PID、启动路径、监听端口、监听状态、监听端口配置路径、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、版本、运行用户进行搜索。 Web框架 展示所有服务器中的Web框架，帮助用户及时发现服务器中异常的Web框架。 Web框架信息包括：框架名称、框架语言、框架版本、路径、关联进程PID、进程路径、最后更新时间。 可以按照服务器名称/服务器IP、框架名称、框架版本、进程PID进行搜索。 Web站点 展示所有服务器中的Web站点，帮助用户及时发现服务器中异常的Web站点。 Web站点信息包括：服务器、域名、站点类型、端口、Web路径、Web根路径、运行用户、目录权限、监听协议、PID、启动时间、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、运行用户进行搜索。 Web应用 展示所有服务器中的Web应用，帮助用户及时发现服务器中异常的Web应用。 Web应用信息包括：服务器、应用名称、版本号、服务类型、站点域名、Web路径，Web根路径、最后更新时间。 可以按照服务器名称/服务器IP、应用名称、版本进行搜索。

本章节介绍Nacos的黑白名单功能 概述 在实例开通完毕后，可以通过设置Nacos实例的黑白名单，以此来限制一定范围内的IP地址（可以单个或者多个，可以是IP或者是IP段）访问实例。在设置白名单时，需要获取访问设备的IP地址，确保配置白名单后，设备能够正常访问Nacos。在设置黑名单时，可以禁止部分IP段的设备访问Nacos。当白名单和黑名单配置存在冲突时，以黑名单优先，即在冲突时，设备是无法访问Nacos实例集群的。 前提条件 1. 已开通微服务引擎MSE，参考章节：创建Nacos实例 2. 已开通Nacos实例并且状态正常 注意 MSE注册配置中心默认不支持公网访问。 黑白名单认证时通过访问的请求头部中获取客户端IP，可能与公网地址不同，请确保配置的IP与请求携带的IP相同。 即使配置了白名单,仍然需要认证才能访问,目前实例默认没有放开免密访问.如果需要开启,可以在参数管理中通过修改authEnabled参数并重启集群来开启，这将会产生被他人免密使用的风险，请谨慎开启。 IP地址格式：X.X.X.X/X，斜杠后为掩码。若IP地址设置为127.0.0.1/32，表示禁止所有地址的访问。多个公网IP地址或地址段，每个地址或地址段之间用英文半角逗号（,）分隔。子网掩码范围为1~32。

相关操作 若需要解绑网卡，在绑定弹性网卡窗口中，在上方已绑定的网卡模块，单击“解绑弹性网卡”。

查看防护事件详情 单击防护事件列表操作列的“查看详情”，进入事件详情页面，查看完整日志。 攻击日志字段说明： 参数名称 参数说明 httphost 请求头中的host字段值，即域名。 action 规则动作，包括观察、拦截、验证码、JS挑战、重定向等。 attacktype 发生的攻击类型，包括SQL注入、XSS、BOT、目录穿越、命令注入、模板注入、CC攻击、IP黑名单、自定义精准攻击、信息泄露、文件上传等。 requesturi 攻击的防护域名的URL。 remoteaddr 客户端IP地址，即攻击IP。 attackarea 客户端攻击IP所属地区。 timelocal 服务器时间，即攻击时间。 ruleid 攻击触发的防护规则ID。 uniqueid 请求对应的唯一标识。 IP一键加白/黑 可以对攻击源IP进行加白、加黑处理。 单击防护事件列表操作列的“IP一键加白/黑”，在弹出的对话框中选择IP黑白名单规则。若规则名称下拉列表无可选项，可以单击“新建规则”，配置规则名称和过期时间，新建一个规则。 误报消除 若对正常网站请求造成误拦截，可以通过误报消除自动添加规则白名单，让满足条件的请求不经过指定规则的检测。建议您结合实际业务需求，确保放行的都是预期的访问请求。 说明 支持对Web基础防护、BOT防护这两个防护模块产生的事件进行误报消除。 1. 单击防护事件操作列的“误报消除”。 2. 会自动将触发该规则的源IP及相关URL等字段自动生成白名单。该白名单仅针对所选规则，不影响其他模块检测。 3. 配置规则名称、规则描述、过期时间。 4. 单击“确定”，完成操作。

本章主要介绍翼MapReduce的更新omm用户ssh密钥功能。 操作场景 在安装集群时，系统将自动为omm用户生成ssh认证私钥和公钥，用来建立节点间的互信。在集群安装成功后，如果原始私钥不慎意外泄露或者需要使用新的密钥时，系统管理员可以通过以下操作手动更改密钥值。 前提条件 已停止集群。 修改时禁止同时进行其他管理类操作。 操作步骤 1.以omm用户登录到需要替换ssh密钥的节点。 如果该节点是Manager管理节点，务必在主管理节点上执行相关操作。 2.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 3.执行以下命令，为节点生成新的密钥： 如果当前节点是Manager管理节点，执行以下命令： sh ${CONTROLLERHOME}/sbin/updatesshkey.sh 如果当前节点是非管理节点，执行以下命令： sh ${NODEAGENTHOME}/bin/updatesshkey.sh 执行上述命令时界面提示“Succeed to update ssh private key.”信息，表示ssh密钥生成成功。 4.执行以下命令将该节点的公钥拷贝到主管理节点： scp ${HOME}/.ssh/idrsa.pub omsip:${HOME}/.ssh/idrsa.pubbak omsip：表示主管理节点IP。 根据提示输入omm用户密码完成文件拷贝。 5.以omm用户登录到主管理节点。 6.执行以下命令，防止超时退出： TMOUT0 7.执行以下命令，切换目录： cd ${HOME}/.ssh 8.执行以下命令添加新的公钥信息： cat idrsa.pubbak >> authorizedkeys 9.执行以下命令移动临时公钥文件到其他目录，例如，移动到“/tmp”目录。 mv f idrsa.pubbak /tmp 10.拷贝主管理节点的authorizedkeys文件到集群内其他节点： scp authorizedkeys nodeip:/${HOME}/.ssh/authorizedkeys nodeip：集群内其他节点IP，不支持多个IP。 11.执行以下命令无需输入密码确认私钥替换完成： ssh nodeip nodeip：集群内其他节点IP，不支持多个IP。 12.登录FusionInsight Manager，在“主页”中单击待操作集群名称后的“ > 启动”，启动集群。

接口功能介绍 ip拦截查询拦截列表 接口约束 无 URI POST /v1/ipBlock/queryList 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 likeQueryType 否 Integer 模糊查询参数类型 模糊查询参数类型 1服务器ip 2服务器名称 1 likeQueryParam 否 String 模糊查询参数 test currentPage 是 Integer 分页当前页码 1 pageSize 是 Integer 每页大小 10 remoteIp 否 String 远端ip 192.168.1.1 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 agentGuid String guid testagentguid blockHappenTime String 拦截时间 20210809 11:09:09 createTime String 创建时间 20210809 11:09:09 displayName String 实例名称 testhostname hostName String 主机名称 testhostname id String 主键 IP0001 loginRegion String 攻击者国家 美国 privateIp String 私有ip 192.168.1.1 publicIp String 公网ip 192.168.1.1 recordId String 告警记录id ALT0001 remoteIp String 远端ip 192.168.1.1 updateTime String 更新时间 20210809 11:09:09 custName String 主机名称 testhostname osType String 操作系统类型 Linux/Windows Windows alarmName String 告警名称 异常登录

本文介绍如何进行海量文件服务的性能测试方法。 操作场景 文件系统需要挂载至云主机等计算服务后才可进行数据读写，本文为您介绍对文件系统进行性能测试，为您的使用提供参考。 前提条件 已有一个NFS协议的海量文件系统 已有一台Linux系统弹性云主机用于挂载文件系统，与文件系统须归属于同一VPC，具体操作请参考创建弹性云主机。 操作步骤 1. 以root用户登录弹性云主机，并挂载文件系统，具体操作请请参考挂载NFS文件系统到弹性云主机(Linux)。 2. 安装fio，性能测试工具。 yum install fio y 3. 使用fio命令进行性能测试，4k小文件随机写性能测试： fio filename/mnt/oceanfs/test.dat direct1 iodepth 16 thread rwrandread ioenginelibaio bs4k size10G numjobs4 timebased runtime60 groupreporting namefstest

使用镜像创建弹性云主机（Linux） 操作场景 将外部镜像文件注册成云平台的私有镜像后，您可以使用该镜像创建新的云主机，或对已有云主机的系统进行重装和更换。本节介绍使用镜像创建云主机的操作。 操作步骤 您可以按照通过镜像创建云主机中的操作指导创建弹性云主机。 在配置参数时，需要注意以下几点： 区域：必须选择私有镜像所在的区域。 规格：在选择规格时，需要结合镜像的操作系统类型以及弹性云主机类型与支持的操作系统版本了解支持选择的规格范围。 镜像：选择“私有镜像”，并在下拉列表中选择所创建的私有镜像。

本节主要介绍准备RDA依赖资源 概述 在使用RDA之前，您需要提前准备相关依赖资源，包括天翼云测试账号，账号可创建弹性云主机、虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。 准备依赖资源 迁移源端测试账号： 天翼云目的端测试账号： 购买一台windows弹性云主机用于安装RDA软件工具； 购买一台或者多台linux弹性云主机用于对象存储迁移agent安装 说明 （RDA控制机和oms agent工具机迁移完成后均可释放） 获取天翼云测试账号AK/SK：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。

本节介绍了什么是云硬盘、云硬盘的类型。 什么是云硬盘 云硬盘（Elastic Volume Service，EVS）可以为弹性云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 云硬盘的类型 不同类型云硬盘的性能各不相同，您可根据应用程序要求选择您所需的云硬盘。

本小节介绍态势感知如何登录态势感知系统及内网IP配置。 登录 1. 打开浏览器，使用 说明 支持浏览器：Google Chrome、Firefox、Edge。 安全组需放通18443端口。 授权会在购买成功后，通过邮件的形式发送到邮箱。 2. 进入下图所示的登录页，输入默认登录名及密码，输入验证码，单击“登录”进入系统。 说明 默认登录名及密码，请登录天翼云官网提交工单获取。 首次登录后请修改默认密码。 内网IP配置 添加内网IP，可以明确流量流向，明确威胁检测的异常行为阶段，明确资产扫描发现的资产的详细归属信息，方便资产扫描、漏洞扫描添加任务时选择需要扫描的资产，明确扫描范围。 首次登录系统，或管理的IP/IP段变化时，需在“系统管理 > 业务配置 > 组织管理”页面，进行IP/IP段的增加、编辑、删除。 IP/IP段添加、编辑时需要填写相关信息，包括：组织名称、IP/IP段、地区、责任人、资产分类标签、联系电话、联系邮箱、备注，红色星号标明的字段为必填项。

本页主要介绍弹性文件服务产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用弹性文件服务产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

OpenAPI门户提供了产品的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云弹性负载均衡产品API的详细介绍，请参见弹性负载均衡使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线测试、sdk，API调试将更加方便。

快捷易用，高效防护DDoS攻击 DDoS基础防护产品依托天翼云资源池网络，根据IP带宽、IP资产类型和资源池网络情况为IP提供免费的基础DDoS防护阈值，在阈值内提供监测和防护。 清晰明确，提供丰富DDoS攻击情况 当DDoS攻击峰值超出DDoS防护阈值后，DDoS基础防护产品会进行DDoS封堵通知，作为其他DDoS防护手段的规格参考，如DDoS高防攻击峰值规格。 综合全面，提供充分DDoS防护建议 为防止DDoS攻击峰值超出DDoS防护阈值进而触发封禁影响业务，DDoS基础防护产品向您提供多种DDoS防护建议，包括配置DDoS高防、配置安全组、检查IP暴露情况等。 轻量延迟，业务防护无负担 DDoS基础防护作用位置在资源池内，为您的池内IP提供原生级别的DDoS防护，不会对业务带来额外延迟影响，业务无负担使用防护功能。

本节介绍什么是Web应用防火墙以及其防护原理。 什么是Web应用防火墙 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 开通Web应用防火墙后，在WAF管理控制台将网站添加并接入WAF，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 防护原理 申请WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 网站接入WAF防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 回源IP

Web应用防火墙可以和CDN同时使用吗？ 只要您当前的CDN服务商支持通过CNAME的方式指定回源服务器，就可以同时使用。 存在的潜在问题：对客户端访问流量拦截，Web应用防火墙会返回一个拦截页面。而CDN缓存拦截页面后，会导致正常用户访问该资源时无论是否违规，得到的都是之前的拦截页面，从而影响正常访问。经过CDN后，客户端的真实IP会被CDN替换掉，因此在业务出现问题时，排障会比较困难，定位问题点需时较长。经过CDN后，真实的客户端会被CDN隐藏，Web应用防火墙的部分功能将会失效，如基于源IP频率的检测、基于地理位置、IP情报库等功能无法使用。 什么是Web应用防火墙回源IP段？ 回源IP段是云WAF对业务请求检测过滤后，代理真实客户端请求与源站建立网络连接的公网IP地址段。网站接入云WAF防护后，源站服务器侧的所有请求来源IP都会变成云WAF回源IP，而真实客户端IP会被插入HTTP头部的XForwardedFor字段中。 什么是QPS？ WAF中的网站QPS指的是当日00:00:00到23:59:59之间访问该网站的每秒请求数。 什么是SQL注入攻击？ 攻击者通过把SQL命令插入到Web表单提交、输入URI或页面请求的查询字符串等手段，利用应用程序的数据库层上的安全漏洞，从而使数据库受到攻击，造成敏感数据窃取或删改，甚至进一步导致网站被嵌入恶意代码、植入后门等危害。

字段 字段说明 攻击时间 攻击时间 规则ID 规则ID对应策略配置，如访问控制配置一条即有一个规则ID，通过规则ID可快速定位由客户哪条规则策略引起的处置 用户 用户帐号 设备ID 设备ID 客户端地址：端口 发起请求客户端的所在IP地址、地区和端口 攻击IP 攻击IP 攻击IP归属 攻击IP归属，如北京电信 目标域名或IP 访问的目标域名或IP 攻击类型 访问控制、扫描攻击（指横向渗透防护检测到的攻击）、未授权访问（指无零信任应用授权的访问行为）、动态授权、黑名单、准入策略、离线分析、准入管控和合规检测攻击类型 状态码 05xx 处理动作 告警：即仅产生告警，不会对访问产生影响 拦截：即将对应请求进行拦截，将无法访问对应目标地址 操作 对于横向渗透防护策略匹配到的防护日志，支持操作取消处置功能 取消处置：用于在零信任网关进行防护时，若对访问行为执行处置动作，被处置对象的零信任使用将受限。点击取消处置按钮，可实时解除网关对该设备的处置动作

项目 描述 目标名称 iSCSI目标名称。 允许访问列表 可以通过开关打开或者关闭允许访问列表。 说明 关闭状态表示允许所有访问。 点击对应target IQN允许访问列表框外的“删除”，可以删除对应target IQN的允许访问列表。 IQN范围 编辑允许访问列表的IQN范围： 所有IQN。 部分IQN：指定target IQN名称。一次可以选择多个target IQN。 发起方 设置发起方（initiator）的允许访问列表，可以在发起方设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定iSCSI发起方允许访问列表。可以设置多组发起方允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。 IPs：根据initiator IP地址设置iSCSI发起方的允许访问列表，支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 名称：根据initiator名称设置iSCSI发起方的允许访问列表。取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 操作：点击“删除”，可以删除对应IPs和initiator名称。 目标 设置目标端（target）的允许访问列表，可以在目标端设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定目标端（target）的允许访问列表。可以设置多组target允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和网路设备（NIC）名称，二者为“与”的关系。 IPs：通过target端IP进行设置target允许访问列表，表示只允许通过target端的指定IP访问target。支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 网卡名称：通过target端的网卡名称设置target允许访问列表，表示只允许通过target端的指定网卡访问target。取值：target端的网卡名称，可包含字母、数字、句点(.)、短横线()和下划线()，最多100个字符。支持通配符和?。可以设置多个，以英文逗号分隔。 操作：点击“删除”，可以删除对应IPs和网卡名称。

本章节主要介绍如何使用Python第三方库psycopg2连接集群。 用户在创建好数据仓库集群后使用psycopg2第三方库连接到集群，则可以使用Python访问DWS ，并进行数据表的各类操作。 连接集群前的准备 DWS 集群已绑定弹性IP。 已获取DWS 集群的数据库管理员用户名和密码。 注意 由于MD5算法已经被证实存在碰撞可能，已严禁将之用于密码校验算法。当前DWS 采用默认安全设计，默认禁止MD5算法的密码校验，可能导致开源客户端无法正常连接的问题。建议先检查一下数据库参数passwordencryptiontype参数是否为1，如果取值不为1，需要修改，修改方法参见《用户指南》的“修改数据库参数”章节；然后修改一次准备使用的数据库用户的密码。 说明 当前DWS出于安全考虑，已经默认不再使用MD5存储密码摘要了，这将导致使用开源驱动或者客户端无法正常连接数据库。需要您调整一下密码策略后再创建一个新用户或者对老用户做一次密码修改，方可使用开源协议中的MD5认证算法。 数据库中是不会存储用户的密码原文，而是存储密码的HASH摘要，在密码校验时与客户端发来的密码摘要进行比对（中间会有加盐操作）。故当您改变了密码算法策略时，数据库也是无法还原您的密码，再生成新的HASH算法的摘要值的。必须您手动修改一次密码或者创建一个新用户，这时新的密码将会采用您设置的HASH算法进行摘要存储，用于下次连接认证。 已获取DWS 集群的公网访问地址，含IP地址和端口。具体请参见 获取集群连接地址。 已安装psycopg2第三方库。下载地址： 说明 CentOS、Redhat等操作系统中使用yum命令安装，命令为：yum install pythonpsycopg2。 psycopg2的使用依赖于PostgreSQL的libpq动态库（32位的psycopg2需要对应32位的libpq；64位的psycopg2对应64位的libpq），Linux中可以依赖yum命令解决。在Windows系统使用psycopg2需要先安装libpq，主要方式有两种： 安装PostgreSQL，并配置libpq、ssl、crypto动态库位置到环境变量PATH中。 安装psqlodbc，使用PostgreSQL ODBC驱动携带的libpq、ssl、crypto动态库。

本章节主要介绍数据仓库服务逻辑集群的概述。 基本概念 逻辑集群是通过Node Group机制来实现资源和数据的隔离。通过把物理集群的所有物理节点划分成多个逻辑集群，每个逻辑集群本质上是一个Node Group，每个物理节点只能属于一个逻辑集群，用户数据表只能分布在一个逻辑集群范围内。这样不同逻辑集群的用户数据是隔离的，逻辑集群所属节点的资源主要提供给逻辑集群内数据表的操作，同时供其他逻辑集群的作业交互查询使用。企业将不同的业务部署在不同的逻辑集群上，既可以实现业务统一管理，也能保证业务之间数据隔离和资源隔离。 逻辑集群从物理节点层次将大集群进行划分，和数据库形成交叉。一个数据库中的表可以按逻辑集群来分配到不同的物理节点，而一个逻辑集群也可以包含多个数据库的表。在划分逻辑集群后，整个数据库中对象间的层次关系如图 逻辑集群、数据库、表层次关系所示。 其中Elasticgroup弹性集群是指在逻辑集群模式下，非逻辑集群节点组成的集群并且总是存在，是一个特殊的Node Group，可以包含多个或不包含任何DN节点。弹性集群不能用户手动创建，在物理集群下第一次创建逻辑集群时自动创建弹性集群，物理集群中所有不属于逻辑集群的物理节点都会加入弹性集群。后续逻辑集群创建所需的DN节点都是来自弹性集群中。因此，为了能够创建新的逻辑集群，需要保证弹性集群中有DN节点存在（在物理集群模式下第一次创建逻辑集群时不需要）。用户可以通过扩容向弹性集群添加新的物理节点。 逻辑集群是基于Node Group机制来划分物理节点的一种集群模式，从节点层次将大集群进行划分，和数据库形成交叉。一个数据库中的表可以按逻辑集群来分配到不同的物理节点，而一个逻辑集群也可以包含多个数据库的表。在划分逻辑集群后，整个数据库中对象间的层次关系如下图所示。 逻辑集群、数据库、表层次关系 说明 逻辑集群仅8.1.0.100及以上集群版本支持。 在实际业务场景中，建议用户尽可能将同一个数据库的表创建到同一个逻辑集群中。 逻辑集群不是独立子集群，可以实现数据隔离，资源隔离和权限隔离，但不支持独立运维。 逻辑集群不支持经典变更规格。

本文介绍如何在控制台删除按量付费文件系统。 操作场景 当用户不再使用按量弹性文件系统时，可以删除相应的文件系统以释放存储空间资源。删除文件系统后，该文件系统的数据将无法被访问。 注意 删除文件系统时，会同时删除所有文件系统数据，请谨慎操作。 已经删除的文件系统不可恢复，请谨慎操作。 删除文件系统前，须解绑所有VPC。 操作步骤 1. 登录天翼云控制中心，在控制台左上角选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 点击文件系统名称进入详情页，在VPC页签下，点击VPC名称操作下的“解绑”按钮，解绑VPC，重复该动作解绑该文件系统所绑定的所有VPC。 4. VPC解绑之后，右上方“删除”按钮变为可点击状态，点击并在弹出的对话框中确认是否删除。 5. 等待一段时间后，在弹性文件系统列表主页面可以看到该文件系统已经不存在，即表示删除成功。

回收策略 storageClassName: csinas 存储类名称 mountOptions: [] 挂载参数 表 关键参数说明 参数 描述 everest.io/reclaimpolicy: retainvolumeonly 可选字段 目前仅支持配置“retainvolumeonly”everest插件版本需 > 1.2.9且回收策略为Delete时生效。如果回收策略是Delete且当前值设置为“retainvolumeonly”删除PVC回收逻辑为：删除PV，保留底层存储卷。 volumeHandle 文件存储的ID。 获取方法：在CCE控制台，单击顶部的“服务列表 > 存储 > 弹性文件服务”，在弹性文件服务列表中单击对应的弹性文件服务名称，在详情页中复制“ID”后的内容即可。 everest.io/shareexportlocation 文件存储的共享路径。 获取方法：在CCE控制台，单击顶部的“服务列表 > 存储 > 弹性文件服务”，在弹性文件服务列表中可以看到“挂载地址”列，即为文件存储的共享路径。 mountOptions 挂载参数。 不设置时默认配置为如下配置。mountOptions: vers3 timeo600 nolock hard everest.io/cryptkeyid 卷为加密卷时为必填，填写创建加密秘钥的ID。 persistentVolumeReclaimPolicy 集群版本号>1.19.10且everest插件版本>1.2.9时正式开放回收策略支持。支持Delete、Retain回收策略。 Delete : Delete且不设置everest.io/reclaimpolicy：删除PVC，PV资源与文件存储均被删除。 Delete且设置everest.io/reclaimpolicyretainvolumeonly：删除PVC，PV资源被删除，文件存储资源会保留。 Retain ：删除PVC，PV资源与底层存储资源均不会被删除，需要手动删除回收。PVC删除后PV资源状态为“已释放（Released）”， 不能直接再次被PVC绑定使用。如果数据安全性要求较高，建议使用Retain以免误删数据。 storageClassName 存储类名称，支持配置csinas。 csinas：表示使用SFS 1.0容量型文件存储。

相关服务 交互功能 弹性云主机（ECS） 弹性云主机为文档数据库服务提供可弹性申请的计算资源，为数据库实例提供运行环境。 虚拟私有云（VPC） 虚拟私有云为文档数据库服务提供可弹性申请的网络资源，对数据库实例进行网络隔离和访问控制，提供数据库实例运行环境。 对象存储服务（OBS） 对象存储服务为文档数据库实例的备份文件提供存储空间。 云监控服务（CES） 云监控服务（CES）是一个开放性的监控平台，帮助用户实时监测文档数据库服务资源动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 统一身份认证服务（IAM） 统一身份认证服务（Identity and Access Management，简称IAM）为文档数据库服务提供了权限管理功能。 云审计服务（CTS） 云审计服务（Cloud Trace Service，简称CTS），记录文档数据库服务相关的操作事件，方便用户日后的查询、审计和回溯。 数据复制服务（DRS） 使用数据复制服务，在多种场景下，实现数据库平滑迁移上云。最大限度允许迁移过程中业务继续对外提供使用，有效地将业务系统中断时间和业务影响最小化，完成数据库平滑迁移工作。

本节介绍了专属云（计算独享型）操作类相关问题。 是否支持共享池的ECS加入到专属云（计算独享型）中 专属云（计算独享型）不支持共享池的ECS加入到集群中。 如何选择地域？ 地域是一个地理区域的概念。我国地域面积广大，由于带宽的原因、不可能只建设一个数据中心为全国客户提供服务。因此，我们根据地理区域的不同将全国划分成不同的区域。 选择区域时通常根据就近原则进行选择，例如您或者您的客户在江苏，那么您可以选择苏州资源池，这样可以减少访问服务的网络时延，提高访问速度。 选择区域时，您需要考虑以下因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 专属计算资源池的内存分配率是如何计算的？ 在“资源使用详情”区域内，内存分配率统计了当前系统的真实情况，包括部分系统管理内存。各项指标的计算方法如下。 总量：可用内存容量，指所有DeC物理服务器上的物理内存容量总和。内存总量数值为“分配给DeC物理服务器的总内存容量”减去“物理服务器的管理内存容量”。物理服务器的管理内存容量通常包括XEN，Kdump等管理弹性云主机时所需要的内存总量，该部分内存无法作为弹性云主机操作系统所使用的内存，约占分配给用户的可用物理内存的2%~3%。 分配：已用内存容量，统计已经分配给用户的可用物理内存上被已创建的弹性云主机消耗的内存总量。已用内存包括用户弹性云主机中可使用的内存（即弹性云主机规格所定义大小的内存）及为了管理该云主机所需要消耗的DeC物理服务器的可用内存。管理该云主机所需要消耗的DeC物理服务器可用内存通常约占弹性云主机定义内存规格的1%~2%，该部分内存无法被弹性云主机使用。 空闲：未被使用的内存容量，数值为“可用内存容量”减去“已分配内存容量”。

本节介绍在CentOS操作系统的弹性云主机里设置时区的操作方法。 操作场景 本节操作介绍在CentOS操作系统的弹性云主机里如何设置时区。 约束与限制 该文档已在CentOS 6.8及CentOS 7.5操作系统弹性云主机上验证，其他版本可能存在差异。 文档中以中国上海时区为例。 CentOS 6/RHEL 6操作系统（以中国上海时区为例） 1. 修改系统时区（永久），请执行： plaintext cp vf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime​ 2. 确认当前时区是否已经为CST，重新登录后执行以下命令。 plaintext date awk '{print $5}' CentOS 7操作系统（以中国上海时区为例） 1. 查看所需的时区，请执行： plaintext timedatectl listtimezones 2. 更改时区，请执行： plaintext timedatectl settimezone Asia/Shanghai 3. 验证时区状态，请执行： plaintext timedatectl status

本文介绍如何处理Windows弹性云主机蓝屏故障。 问题描述 Windows操作系统弹性云主机蓝屏。 可能原因 1. 驱动程序冲突导致。 2. 使用了来源不明的第三方软件导致。 3. 病毒感染，导致系统文件、注册表损坏。 4. CPU占用过高导致。 处理方法 1. 确保服务器上的所有驱动程序都是最新版本，并且与操作系统兼容。可以尝试更新或重新安装相关的驱动程序，特别是与硬件设备相关的驱动程序。 2. 建议使用正版软件，不要安装来源不明的第三方软件。 3. 如果排查是因为CPU占用过高导致的蓝屏，可以参考以下操作： 可以通过把一些暂时不使用的进程关掉后再尝试。 可以尝试重启服务器。 如果重装系统，请先备份重要数据。 如果服务器有重要数据不能重装，可以通过挂载磁盘方式拷贝数据，需要先备份，再卸载磁盘，然后挂载盘拷贝数据。 4. 如果需要分析蓝屏原因，需确认是否已配置内存转储文件(Crash Dump)收集，系统会自动生成蓝屏dump日志到指定的目录。由于蓝屏日志的分析非常耗时，建议客户在遇到蓝屏的情况，重启弹性云主机后，参考如上的可能原因进行排查。一般第三方杀毒软件、系统故障和CPU占用过高是导致弹性云主机蓝屏最常见的原因。

本文介绍全站加速支持的防盗链以及是否支持自助配置。 天翼云全站加速目前支持的防盗链有：referer防盗链、IP黑/白名单、UA黑/白名单、URI黑/白名单、URL鉴权等。其中，referer防盗链、IP黑白名单、UA黑/白名单、URL鉴权支持控制台自助配置，其他防盗链需求，请提交工单。 Referer防盗链 通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略，从而可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。详见：Referer防盗链。 IP黑白名单 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。详见：IP黑白名单。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息，因此UserAgent是访客身份的象征，标志访客访问时所使用的工具，通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。详见：UA黑白名单。 UserAgent白名单：用于配置允许用户使用的访问工具，UA白名单之外的访问工具全部拒绝访问（节点响应403），UA白名单之内的访问工具全部允许访问。 UserAgent黑名单：用于配置禁止用户使用的访问工具，UA黑名单之外的访问工具全部允许访问，UA黑名单之内的访问工具全部拒绝访问（节点响应403）。

本页为本地PostgreSQL迁移到RDS for PostgreSQL的最佳实践网络和准备工作概述。 网络通信方式 本地数据库接入天翼云，需要通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 为本地数据库开放公网访问 本地数据库需要支持公网访问，同时具备公网ip或者域名。 3. 数据库添加白名单 数据库需要添加DTS数据迁移实例中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。 源库处理 1. 登录自建PostgreSQL所属的服务器。 2. 修改配置文件postgresql.conf，将配置文件中的wallevel设置为logical。 3. 将DTS的IP地址加入至自建PostgreSQL的配置文件pghba.conf中。如果您已将信任地址配置为0.0.0.0/0（如下图所示），可跳过本步骤。 如果任务包含增量迁移，需安装PostgreSQL的逻辑解码器输出插件Decoderbufs，建议安装v2.1.1.Final以上版本，低版本可能会导致PostgreSQL数据库出现coredump，详细的安装步骤可参考PostgreSQL官网文档。

本节主要介绍静态IP直接访问的非标场景如何进行整改。 如何将静态IP直接访问的非标场景修改为域名访问的标准场景？ 将IP替换为域名 “${桶名}.obs.${regioncode}.ctyun.cn”。 其中：${桶名} 替换为实际业务使用的桶，${regioncode} 替换为桶所在的区域编码 示例： IP访问请求：GET 180.101.142.100为天翼云苏州局点公网静态IP，该请求直接使用此IP列举桶内对象，需整改为域名访问的方式，苏州局点的区域编码为cnjssz1，整改需将IP替换为“桶名.obs.cnjssz1.ctyun.cn”。 整改后请求：GET 附：各局点对应的区域编码如下： 局点 区域编码 :: 广州4 cngdgz1 贵州 cngz1 苏州 cnjssz1 内蒙3 cnnmhh1 华北 cnnorth1 西安2 cnsnxy1 芜湖 cnahwh1 福州 cnfz1 武汉2 cnhbwh1 长沙2 cnhncs1 杭州 cnhz1 成都3 cnsccd1 上海4 cnsh1 深圳 cnsz1 北京2 cnbj1 重庆 cncq1 兰州 cngslz1 南宁 cngxnn1 郑州 cnhazz1 石家庄 cnhesjz1 海口 cnhihk1 哈尔滨 cnhlhrb1 长春 cnjlcc1 南昌 cnjxnc1 沈阳3 cnlnsy1 中卫 cnnxyc1 西宁 cnqhxn1 青岛 cnsdqd1 太原 cnsxty1 天津 cntj1 乌鲁木齐 cnxjcj1 昆明 cnynkm1

本文为您介绍CentOS 7重启后dhclient未运行,导致无法获取IP的解决办法。 问题描述 云服务器启动后dhclient未运行导致IP无法获取。 问题分析 重启后dhclient进程未运行的根因通常为： 1. NetworkManager未开启自启动导致dhclient进程未运行。 2. 网卡设备未纳入NetworkManager管理导致。 约束与限制 本节操作适用于CentOS 7系列使用DHCP获取IP。 1. 执行以下命令，确认dhclient是否运行。 ps ef grep dhclient grep v grep 2. 如果未找到dhclient进程，则确认dhclient进程未运行，执行以下命令，继续排查NetworkManager是否运行。 systemctl status NetworkManager 如果NetworkManager的状态为Active: inactive (dead)，则NetworkManager未启动，执行以下命令，检查该服务是否开机自启。 systemctl isenabled NetworkManager 结果为disabled则确认为NetworkManager未设置开机自启导致，执行以下命令进行恢复。 systemctl enable NetworkManager && systemctl start NetworkManager 如果NetworkManager的状态为Active: active (running)，执行以下命令查看网卡设备是否被NetworkManager管理。 nmcli device status 如果显示该网卡为的STATE为unmanaged，则该网卡设备未被NetworkManager管理，执行以下命令进行恢复。 nmcli device set eth0 managed yes 3. 执行以下命令重启NetworkManager。 systemctl restart NetworkManager 4. 执行以下命令查看ip是否已经获取。 ip add

天翼云存储 静态存储卷 动态存储卷 天翼云云硬盘 支持 支持 天翼云弹性文件 支持使用CSI驱动以PV、PVC方式挂载弹性文件静态存储卷 暂不支持 天翼云对象存储 支持使用CSI驱动以PV、PVC方式挂载对象存储静态存储卷 暂不支持