原因二 原因：安全组未将WAF回源IP设置为白名单或未放开端口。 解决办法： 将WAF的回源IP在网站所在的ECS的安全组里设置为白名单。 原因三 原因：源站有防火墙设备，且该防火墙设备拦截了WAF的回源IP。 解决办法： 将WAF的回源IP在网站所在的ECS的安全组里设置为白名单或者卸载除WAF以外其他防火墙软件。 原因四 原因：连接超时、read超时。 解决办法： 数据库查询时间过长： 调整优化业务，尽量缩短查询时长，优化用户体验。 修改请求的交互方式，让这种长连接在 60s 内能有一些数据交互（如，ack报文、心跳包、keepalive等任何可以维持会话的报文）。 大文件上传时间过长： 调整优化业务，尽量缩短文件上传时间。 建议使用FTP方式上传文件。 直接通过IP上传，或者使用没有被WAF防护的域名上传。 使用WAF的独享模式，独享WAF回源超时默认为180s。 源站故障类：检查源站业务是否正常。 原因五 原因：源站超带宽。 解决办法：扩展源站服务器带宽。

配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的url地址。（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP （1）CI:客户端ID，订购扩展服务BOT管理后支持该作用域 （2）IP+UA：客户端IP与客户端UA （3）IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本文主要介绍计算加速型P3v 概述 P3v型弹性云主机采用NVIDIA A800 GPU，在提供云主机灵活性的同时，提供超高性能计算能力。适用于AI深度学习、科学计算，在深度学习训练、科学计算、计算流体动力学、计算金融、地震分析、分子建模、基因组学等领域都能表现出巨大的计算优势。理论单精度浮点性能：FP32：19.5TFLOPS。Tensor核心浮点性能：TF32: 156TFLOPS，BFLOAT16: 312TFLOPS。 类型 CPU基频/睿频 CPU型号 P3v 2.6GHz/3.5GHz 第三代英特尔® 至强® 可扩展处理器 6348 规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数个数上限 GPU GPU连接技术 显存（GiB） 虚拟化类型 p3v.3xlarge.8 12 96 17/5 200 4 4 1 × NVIDIA A800 80GB N/A 80 KVM p3v.24xlarge.8 96 768 40/36 850 32 8 8 × NVIDIA A800 80GB NVLink 640 KVM P3v型弹性云主机功能如下： 处理器：第三代英特尔® 至强® 可扩展处理器 6348，主频2.6GHz，睿频3.5GHz。 支持NVIDIA A800 GPU卡，每台云主机支持最大8张A800显卡。 支持NVIDIA CUDA并行计算，支持常见的深度学习框架Tensorflow、Caffe、PyTorch、MXNet等。 单精度能力19.5 TFLOPS，双精度能力9.7 TFLOPS。 支持NVIDIA Tensor Core能力，深度学习混合精度运算能力达到156 TFLOPS。 单实例最大网络带宽40Gb/s。 单卡 80GB HBM2显存，显存带宽2039Gb/s，支持多卡NVLINK互联技术。 完整的基础能力： 网络自定义，自由划分子网、设置网络访问策略。 海量存储，弹性扩容，支持备份与恢复，让数据更加安全。 弹性伸缩，快速增加或减少云主机数量。 灵活选择： 与普通云主机一样，P3v型云主机可以做到分钟级快速发放。 优秀的超算生态： 拥有完善的超算生态环境，用户可以构建灵活弹性、高性能、高性价比的计算平台。大量的HPC应用程序和深度学习框架已经可以运行在P3v实例上。

本节介绍了优化私有镜像(Linux)的有关内容。 优化过程（Linux） 为了同时支持XEN虚拟化和KVM虚拟化，Linux弹性云主机的正常运行需依赖于xenpv驱动、virtio驱动等，因此，XEN实例变更为KVM实例前，需要确保Linux私有镜像已完成相关配置，包括安装驱动、修改UUID等。同时，优化私有镜像也能提升弹性云主机的网络性能。 1. 将待优化的Linux镜像创建弹性云主机，并开机登录。 2. 卸载弹性云主机操作系统中安装的PV Driver。 具体操作请参见下文“在Linux系统中卸载PV driver”。 3. 修改grub文件磁盘标识方式为UUID。 具体操作请参见下文“修改grub文件磁盘标识方式为UUID”。 4. 修改fstab文件磁盘标识方式为UUID。 具体操作请参见下文“修改fstab文件磁盘标识方式为UUID”。 5. 安装原生的KVM驱动。 具体操作请参见下文“安装原生的KVM驱动”。 6. 清除日志文件、历史记录等，关闭云主机。 具体操作请参见下文“清除日志文件”。 7. 通过弹性云主机创建Linux私有镜像。 查看Linux操作系统云主机虚拟化类型 您可以执行以下命令，查看当前云主机的虚拟化类型。 lscpu 如果回显信息中的Hypervisor vendor为XEN，说明当前云主机为XEN虚拟化类型，如果需要同时支持KVM虚拟化，请参考本章节操作优化Linux私有镜像。 说明： 如果查出来的虚拟化类型为KVM，也建议您优化私有镜像，避免最终发放的云主机出现一些不可预知的异常。 查看Linux云主机虚拟化类型

本文介绍了TCP、UDP数据包超过MTU值时会产生分片的情况及如何设置安全策略。 数据包过MTU时分片说明 网络最大传输单元MTU（Maximum Transmission Unit）决定了网络上单次可传输数据包的最大尺寸，包含IP数据包头和载荷，不包含以太网头部。以太网缺省MTU1500字节，这是以太网接口对IP层的约束，如果IP层有 1500字节数据需要发送，需要分片才能完成发送。所有分片报文在发送至目的主机后，在目的主机进行分片重组，恢复为原报文。 TCP和UDP数据包大小限制说明 1、如果您定义的TCP和UDP包没有超过范围（默认MTU为1500字节），那么您的数据包在IP层就不用分包，这样传输过程中就避免了在IP层组包发生的错误； 2、如果超过范围，因为多个分片包只有第一个是有包头的，它可以根据包头里的端口号通知相应的应用取走，但是后面的分片包由于没有包头，传输层无法把分片包交给正确的应用程序，导致后面的分片包内容丢失，在目的端无法重组报文。 安全规则配置策略 如果您有大包分片报文需求，在配置安全组规则时： 1、对于可用区资源池来说，目前不支持IPv4协议和IPv6协议类型的TCP、UDP分片大包进行指定端口过滤。您配置规则时需要将端口范围指定为165535，不进行指定端口过滤。 2、对于地域资源池来说，目前仅支持IPv4协议类型的TCP、UDP大包分片报文进行指定端口过滤，不支持IPv6协议类型。具体情况以控制台展示为准。

扫描器访问拦截 经过扫描器特征识别之后，边缘云WAF判断请求来自于扫描器，将通过扫描器访问拦截规则对请求进行拦截。 配置规则：基于IP或IP+UA的粒度，对请求命中扫描器类型次数作为命中触发阈值，达到阈值后触发处理动作。支持配置处理动作为拦截或告警 相关操作 当您需要防护高频Web攻击，支持设置攻击挑战 当您需要防护目录遍历攻击时，可以设置规则防护【敏感防护规则集】，能够满足一般情况下的目录遍历防护需求 当您需要防护威胁情报已知恶意IP时，支持设置IP情报规则

本文向您介绍镜像的不同类型。 什么是镜像 镜像是弹性云主机可选择的运行环境模板，一般包括操作系统和预装软件。通过镜像用户可以在弹性云主机上实现应用场景的快速部署。 镜像类型 镜像有多种类型，比如公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，共享镜像为其他用户共享的私有镜像等。详情可参考：镜像服务产品简介。

本节介绍如何为漏洞扫描v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 漏洞扫描系统开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 漏洞扫描系统开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的漏洞扫描、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 重启”。 登录漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 开启IPv6防护 开通漏洞扫描v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

配置项 说明 节点名称 自定义节点名称，用于定义设备hostname和集群节点名称 节点IP 提供节点的IP地址 节点MAC 提供节点的MAC地址 BMC IP 提供能够带外管理接口的BMC IP地址，用于安装操作系统 BMC用户名 BMC登录的用户名 BMC密码 BMC登录的密码

本文主要介绍使用CDN加速后出现访问异常如何初步排查。 问题概述 当使用CDN加速后出现访问异常如何初步排查是CDN造成的异常还是源站自身异常导致的。 排查步骤 步骤一：确认客户端网络环境是否正常 例如，通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。 可以通过搜索引擎搜索在线诊断工具，来获取方便定位客户端自身信息的工具。如客户端网络环境正常，则继续查看下一步。 步骤二：确认是否为CDN节点异常 通过浏览器F12开发者工具，我们可以轻松得到访问到的节点IP。 得到节点IP后，判断此IP是否归属于天翼云，详情请见：如何验证IP地址是否属于天翼云CDN节点IP。 如果IP不属于天翼云，进一步判断域名解析是否正常：可以通过nslookup（Windows）或者dig（Linux）来验证域名解析是否正常。 如果解析不符合预期情况且您域名的DNS配置无误，那么大概率遭遇DNS劫持。推荐您使用公共的DNS规避此问题。 如果IP归属于天翼云，那么进一步确认源站情况是否正常。

检查安全组规则是否生效 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。 假设您在某台ECS上部署了网站，希望用户能通过HTTP(80)端口访问到您的网站，则您需要先在ECS所在安全组的入方向中，添加下表中的规则，放通HTTP(80)端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP：80 IP地址：0.0.0.0/0 安全组规则添加完成后，您需要执行以下操作，检查云主机内端口开放情况，并验证配置是否生效。 登录云主机，检查云主机端口开放情况。 检查Linux云主机端口：执行命令netstat an grep 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 检查Windows云主机端口：打开命令执行窗口（CMD），执行命令netstat an findstr 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 打开浏览器，在地址栏里输入“

跳转挑战 功能介绍：跳转挑战通过302、307跳转去防护无法正常执行跳转的爬虫，还能通过图片验证和一些JS挑战检验用户交互行为。 配置介绍：对触发防护策略的请求进行跳转处理，并提供多次验证机会，不放过恶意爬虫请求，也避免误拦截正常请求。 跳转方式：对于GET请求执行302跳转，对于POST请求执行307跳转，后续将支持图片验证码挑战、JS跳转等多种跳转方式。 首次失败机会时间：对于跳转失败的请求提供再次验证，即机会时间内，跳转失败次数不通过后面的条件计数。 处理动作：支持对触发防护策略的请求执行拦截、计数告警、跳转、放行的处理动作。处理动作为跳转、放行则无需配置触发条件。 统计粒度：静态Cookie/IP+UA/IP。 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间）。 静态Cookie特性检测 功能介绍：主要针对盗用Cookie的请求进行处理，即通过对Cookie内容和请求内容的对比可以从不同维度进行爬虫检测，主要包括IP、UA、以及过期时间等。 配置介绍 超时异常：静态Cookie中包含了时间信息，若攻击者盗用Cookie，则可能会使用已过期的Cookie请求。 初次验证阶段：对于超时的请求提供初次验证阶段。达到首次超时请求的【】时间后，达到第【】个超时请求将进入再次验证。 处理动作：支持对触发再次验证防护策略的请求执行拦截、计数告警、跳转、放行的处理动作。处理动作为跳转、放行则无需配置触发条件。 统计粒度：静态Cookie/IP+UA/IP。 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间）。 IP异常防护：静态Cookie中包含了上次访问下发的IP信息，若攻击者盗用Cookie，请求中获取到的IP会与Cookie中记录的不同。配置说明同超时异常。 UA异常防护：静态Cookie中包含了上次访问下发的UA信息，若攻击者盗用Cookie，请求中获取到的UA会与Cookie中记录的不同。配置说明同超时异常。

本文将为您介绍如何在云主机中使用服务委托策略。当前华东1地区已开通此功能。通过服务委托功能,您可以将自己的操作权限委托其他云服务,云服务可以根据权限代替您进行日常资源管理工作 前提条件 已登录弹性云主机控制台。 已有可使用的委托策略。 操作步骤 新建云主机时绑定委托策略 1. 登录管理控制台。 2. 在控制台顶部菜单左侧，选择区域。 3. 点击计算弹性云主机进入云主机控制台。 4. 单击右上角创建云主机进入云主机购买页面。 5. 在步骤3“高级配置“页面”，选择“委托策略名称”，此条策略后续将生效于该台云主机。 6. 云主机创建其他信息填写完毕，点击“确认配置”以及“立刻购买”。 注意 委托策略的创建需要管理员登录IAM控制台进行创建。具体操作文档请参考统一身份认证创建委托。 云主机创建后绑定委托策略 1. 点击指定弹性云主机的名称，系统跳转至该弹性云主机详情页面。 2. 详情页面中点击委托策略后方的编辑标识，为当前云主机绑定新委托策略。 注意 若您的云主机上已绑定委托策略，绑定新策略后，原策略将失效，新策略将生效于当前云主机。

P2v型弹性云主机功能如下： 处理器与内存配比为1:8。 处理器：英特尔® 至强® 可扩展处理器 6151, 主频3.0GHz，睿频3.4GHz。 支持NVIDIA Tesla V100 GPU卡，每台云主机支持最大8张Tesla V100显卡。 支持NVIDIA CUDA并行计算，支持常见的深度学习框架Tensorflow、Caffe、PyTorch、MXNet等。 单精度能力15.7 TFLOPS，双精度能力7.8 TFLOPS。 支持NVIDIA Tensor Core能力，深度学习混合精度运算能力达到125 TFLOPS。 单实例最大网络带宽30Gb/s。 使用16GiB HBM2显存，显存带宽900Gb/s。 完整的基础能力 网络自定义，自由划分子网、设置网络访问策略；海量存储，弹性扩容，支持备份与恢复，让数据更加安全；弹性伸缩，快速增加或减少云主机数量。 灵活选择 与普通云主机一样，P2v型云主机可以做到分钟级快速发放。 优秀的超算生态 拥有完善的超算生态环境，用户可以构建灵活弹性、高性能、高性价比的计算平台。大量的HPC应用程序和深度学习框架已经可以运行在P2v实例上。 常规软件支持列表 P2v型云主机主要用于计算加速场景，例如深度学习训练、推理、科学计算、分子建模、地震分析等场景。应用软件如果使用到GPU的CUDA并行计算能力，可以使用P2v型云主机。常用的软件支持列表如下： Tensorflow、Caffe、PyTorch、MXNet等常用深度学习框架 RedShift for Autodesk 3dsMax、VRay for 3ds Max等支持CUDA的GPU渲染 Agisoft PhotoScan MapD

本小节介绍态势感知威胁检测。 威胁概览 在“威胁检测 > 威胁概览”页面，主要统计分析当前用户环境所面临的威胁情况，具体包括： 异常行为的总量及高危异常行为类型TOP3。 威胁行为类型：统计最近24h的异常行为类型及数量。 受影响主机排行：根据最近24h的异常行为数量，统计受影响主机TOP5，表格展示资产IP、资产归属、异常行为数。 威胁方排行：根据威胁数量统计最近24h的威胁方排行，国内、国际分别统计TOP5，表格展示威胁方IP、所在地、异常行为数。 威胁方归属地：统计异常行为数最多的威胁方所在地，国内、国际分别统计TOP10。 威胁列表 在“威胁检测 > 威胁列表”页面，详细记录了威胁事件信息。 威胁事件支持按照时间、按照事件的属性进行筛选。 威胁事件根据威胁类型和威胁明细，统计影响最多的前十类。 威胁列表展示威胁事件发生的时间、源IP、目的IP、协议、流向、威胁类型、威胁明细、严重级别、攻击阶段、来源、威胁方归属地、探针IP。

修改HTTPS监听器时配置安全策略 具体操作如下： 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。 3. 在顶部左侧选择弹性负载均衡所属区域。 4. 单击已创建的负载均衡器实例名称。 5. 在该负载均衡界面的“监听器”区域，单击HTTPS监听器所在行的“修改”选项。 6. 在“修改监听器”界面高级配置，可查看当前HTTPS监听器的安全策略设置，并根据应用需要修改安全策略。 7. 单击“确定”按钮，完成配置。

原因分析 客户端IP xxx 违反IP黑白名单，禁止连接。 解决方法 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，选择出现异常的DRDS实例，单击【管理】，进入实例【基本信息】页面。 4. 单击“分组管理”，选中默认分组，点击“更多”菜单，点击“IP黑白名单”，将需要连接的机器IP或者网段加入到白名单范围内，并从黑名单中移除这些允许访问的IP。无需重启，在线生效。 5. 另外，在天翼云DRDS控制台界面使用时出现DBProxy连接失败，也可能是IP黑白名单导致。 问题4：创建表时，提示"DDL审计未通过" 原因分析 建表语句违反DDL审计规则。 解决方法 1. 用户评估该条DDL审计规则是否合理，若不合理，可以关闭该条DDL审计规则。 2. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 3. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 4. 在实例列表中，选择出现异常的DRDS实例，单击【管理】，进入实例【基本信息】页面。 5. 单击“DDL审计”，选中某条规则并关闭。无需重启，在线生效。 问题5：执行SQL时，提示Illegal sql statement

本文介绍多种场景下,会将客户域名回源2小时,2小时后自动解封。 开通边缘接入服务后，若DDoS攻击超过购买的攻击峰值，会将客户域名回源2小时，2小时后自动解封。 补充信息：除此以外，以下场景也会将客户域名回源2小时，2小时后自动解封。 未订购DDoS防护带宽、攻击峰值超过套餐内的攻击峰值或者套餐内DDoS防护次数不足。 订购DDoS防护带宽，未开启DDoS弹性防护，攻击峰值超过DDoS防护带宽同时超过套餐内的DDoS防护规格。 订购DDoS防护带宽，且开启DDoS弹性防护，DDoS攻击峰值超过弹性防护带宽，同时超过套餐内的DDoS防护规格。

创建新的带有数据盘的云主机 1、选择“弹性云主机”。 2、单击右上角的“创建弹性云主机”。 进入弹性云主机购买向导页面。 3、按需选择计费模式、可用区、规格等参数，增加一块数据盘，并选择用数据盘镜像来创建。按界面提示完成云主机创建。 图 数据盘 4、返回云主机列表，等待几分钟，云主机创建成功。 5、登录云主机，验证数据是否迁移成功。 执行fdisk l，可以看到数据盘已分区。将新分区重新mount一下，再查看“qianyi.txt”文件，数据迁移成功。

分类 功能模块 描述 中国内地 全球（不含中国内地） 全球 DDoS防护 网络层DDoS防护 主动防御IP及端口类的DDoS攻击。 防护峰值：40Gbps 防护次数：1次 平台级尽力防护 中国内地：防护流量：40Gbps；防护次数：1次 全球（不含中国内地）：平台级尽力防护 加速协议 TCP/UDP加速 支持基于TCP/UDP协议的所有应用，包含私有协议的应用加速。 √ √ √ 加速协议 HTTPS无证书加速 HTTPS协议，无需部署证书，即可实现加速，保证数据安全不被篡改。 √ √ √ 访问控制 IP黑白名单 通过配置访问的IP黑白名单来对访问者身份进行识别和过滤，屏蔽非法访问。 √ √ √ 访问控制 区域访问控制 区域访问控制功能可通过设置区域黑白名单，从而仅允许或者限制部分区域的用户访问。 √ √ √ 回源相关 域名/IP回源方式 支持域名方式回源，或者IP方式回源。 √ √ √ 回源相关 源站负载均衡 支持主备、择优、按权重轮询、基于客户端IP哈希等多种源站负载均衡策略。 √ √ √ 日志管理 日志下载 默认提供30天内的日志下载，若需加长可定制。 √ √ √ 性能优化 内容优化 通过智能压缩技术，优化传输内容，提升传输效率。 √ √ √ 性能优化 多路传输 支持多路传输功能，开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 √ √ √ 智能选路 实时探测 节点间实时探测获取当前网络状况，并上报智能选路中心，作为选路依据。 √ √ √ 智能选路 快速选路 利用加速节点间实时探测的RTT值，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 √ √ √ 智能选路 稳健选路 利用加速节点间实时探测的RTT和丢包率数据，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 √ √ √ 可靠传输 多点覆盖 边缘节点采用多点覆盖，避免单节点故障造成访问故障，提高可靠性。 √ √ √ 可靠传输 零时延切换 当边缘节点与下一跳节点建连时，若发现下一跳节点故障时，零时延切换至其他回源链路。 √ √ √ 用量统计 带宽统计 展示查询范围内的带宽趋势图，可分别统计上行带宽、下行带宽、上行+下行总带宽。 √ √ √ 用量统计 流量统计 展示查询范围内的流量趋势图，可分别统计上行流量、下行流量、上行+下行总流量。 √ √ √ 用量统计 连接数统计 展示查询范围内的连接数和并发连接数趋势图。 √ √ √ 用量统计 地区运营商 统计查询时间范围内：不同运营商、不同地区的流量、流量占比、带宽峰值、连接数、连接数占比、并发连接数峰值等数据。 √ √ √ 用量统计 域名排行 统计查询时间范围内的TOP域名，并展示对应的流量值、流量占比、带宽峰值、峰值时刻、连接数、连接数占比、并发连接数峰值、并发连接数峰值时刻等数据。 √ √ √ 用量统计 TOP客户端IP排行 统计查询时间范围内的TOP客户端IP，并展示对应的流量值和连接数。 √ √ √ 用量统计 访问用户区域分布 统计查询时间范围内的访问用户区域分布，并展示对应的带宽、流量、连接数。 √ √ √ 用量统计 独立IP访问数 统计查询时间范围内的独立IP访问峰值次数（1小时统计）和日活跃IP总量。 √ √ √ 用量统计 访问运营商分布 统计查询时间范围内的用户访问运营商分布，并展示对应的带宽、流量、连接数。 √ √ √

本文带您了解该方案所涉及的资源及场景拓扑。 涉及资源 VPC、云专线、VPC终端节点、弹性云主机。 虚拟私有云VPC：配置云专线需要做好云上VPC和本地数据中心的网段规划。用户可以将其VPC内的服务资源配置为终端节点服务。 云专线：用于搭建云下用户本地数据中心与天翼云VPC之间高速、低时延、稳定安全的专属连接通道，实现灵活一体，可伸缩的混合云计算环境。 VPC终端节点：可以使用内网在VPC内提供便捷、安全、私密的通道与终端节点服务进行连接，实现通过天翼云内网访问云上VPC内的资源和其他云服务。 弹性云主机：用户的私有服务，可创建为终端节点服务，可以购买终端节点访问该终端节点服务。 场景拓扑 云下用户数据中心（IDC）通过云专线与云上VPC1建立连接。 云上VPC1通过终端节点访问VPC2中的弹性云主机1（终端节点服务）。 云下IDC通过云上VPC1访问VPC2中的弹性云主机2（终端节点服务）。

步骤2：删除/新增数据 1.登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。 2.删除数据盘中准备的数据，如下图所示： 步骤3：原盘卸载/数据恢复 1.登录天翼云管理控制台。选择“计算 > 弹性云主机”。进入云主机控制台页面。卸载需要恢复的云主机A的数据盘，如下图所示： 弹性云主机中已完成卸载： 2.在“备份”页签下，选中创建成功的备份，单击操作列“恢复数据”，进入恢复云硬盘的向导页面，按需选择对应选项，点击确定。 3.恢复任务成功后，登录天翼云管理控制台。选择“计算 > 弹性云主机”。进入云主机控制台页面。挂载恢复成功的云硬盘到弹性云主机A，并登入云主机A查看数据，如下图所示： 至此，数据恢复完成。

弹性云主机 在连接RocketMQ实例之前，需要先购买弹性云主机（Elastic Cloud Server，以下简称ECS），JDK安装、环境变量配置。本文以Linux系统的ECS为例，Windows系统ECS的JDK安装与环境变量配置可自行在互联网查找相关帮助。 1. 登录管理控制台，在左上角单击，选择“计算 > 弹性云主机”，创建一个ECS实例。 具体创建操作，请参考创建弹性云服务器。如果您已有可用的ECS，可重复使用，不需要再次创建。 2. 登录ECS。 3. 安装Java JDK或JRE，并配置JAVAHOME与PATH环境变量，使用执行用户在用户家目录下修改.bashprofile，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$JAVAHOME/bin:$PATH 执行source .bashprofile命令使修改生效。 说明 ECS虚拟机默认自带的JDK可能不符合要求，例如OpenJDK，需要配置为Oracle的JDK，可至Oracle官方下载页面下载Java Development Kit 1.8.111及以上版本。

修改监听器 1. 登录公共算力服务控制台。 2. 点击左侧导航栏【网络>弹性负载均衡>负载均衡】，在负载均衡列表页，选择某实例名字单击进入负载均衡详情页。 3. 监听器列表页选择某监听器实例，点击修改。 4. 在修改监听器的弹框中，按需修改。 修改负载均衡监听器参数说明： 参数 说明 名称 修改负载均衡监听器的名称。 前端协议 该信息为不可修改项。 前端端口 监听器添加前端端口，范围为165535。 服务器证书 为监听器添加服务器证书，只有该监听器的前端协议选择HTTPS时才有该选项。 后端服务器组 监听器添加已有的后端服务器组，当前端协议为TCP时，后端服务器组的后端协议需要为TCP时才能选中该后端服务器组，当前端协议为UDP时，后端服务器组的后端协议需要为UDP时才能选中该后端服务器组，当前端协议为HTTP和HTTPS时，后端服务器组的后端协议需要为HTTP时才能选中该后端服务器组，且已和监听器绑定的后端服务器组不能再次添加监听器。 描述 可选功能，按需为该监听器添加相关的描述信息。 访问策略 需开启高级配置，支持白名单和黑名单两种访问策略。白名单：允许特定IP地址访问负载均衡。黑名单：拒绝特定IP地址访问负载均衡。 访问策略组 需开启高级配置，选择对应策略组名称。

参数 参数类型 说明 示例 下级对象 InUserId String GA1400凭证id。 20720122 InUserName String GA1400凭证名称。 test DeviceType String 视图库设备类型。取值：ape（采集设备）。 ape ViidId String 视图库编码。 xxx ViidIp String 视图库ip。 192.168.0.1 ViidPort Integer 视图库端口。 8000 OutId String 设备视图编码。 11000000541327000032 Ip String 设备ip。 192.168.0.1 Port Integer 设备端口。 8000 DeviceStatus Object 设备状态。 DeviceStatus

参数 参数类型 说明 示例 下级对象 InUserId String GA1400凭证id。 20720122 InUserName String GA1400凭证名称。 test DeviceType String 视图库设备类型。取值：ape（采集设备）。 ape ViidId String 视图库编码。 xxx ViidIp String 视图库ip。 192.168.0.1 ViidPort Integer 视图库端口。 8000 OutId String 设备视图编码。 11000000541327000032 Ip String 设备ip。 192.168.0.1 Port Integer 设备端口。 8000 DeviceStatus Object 设备状态。 DeviceStatus

云主机备份(CTCSBS,Cloud Server Backup Service)提供对弹性云主机的备份保护服务,支持基于多云硬盘一致性快照技术的备份服务,并支持利用备份数据恢复弹性云主机数据,最大限度保障用户数据的安全性和正确性,确保业务安全。

数据类型 说明 WEB攻击拦截次数 统计WEB攻击拦截次数 CC攻击拦截次数 统计CC攻击拦截次数 拦截比例 统计拦截相对访问总数的比例 黑名单拦截 统计黑名单拦截次数 高危事件 统计高危事件数量 攻击源IP数 统计攻击源IP数量 告警拦截率 统计告警拦截率 WEB威胁告警数 统计WEB威胁告警数量 WEB攻击趋势 通过柱状图展示Web攻击数量趋势情况 告警类型分布统计 通过饼状图展示告警级别分布情况 攻击源国家/地区Top5 通过列表及饼状图，展示发起攻击请求次数最多的前5个地域。 攻击类型Top5 通过列表及饼状图，展示最多的5种攻击类型。 攻击热力图 基于地图展示攻击省份热力图，通过列表展示地区、访问量及访问占比。 攻击URL排行 通过列表展示访问URL地址、访问次数和占比 攻击IP排行 通过列表展示访问IP、访问次数和占比 告警列表 通过列表展示域名、访问URL、告警级别、告警类型、客户端IP、地区、请求时间和处理方式。

参数名 类型 是否必填 名称 说明 productcode string 否 产品类型 产品类型，“006”（全站加速），不传代表全部产品 domain string 是 域名 functionnames string 否 功能函数名称 若该参数不传，则默认返回的是该域名全部功能的配置参数，若传该参数，则返回指定功能的配置信息，多个功能用英文逗号分割，若该参数未配置，可能返回为空，目前支持参数：blackreferer（referer黑名单），whitereferer（referer白名单），filetypettl（文件过期时间设置），ipblacklist（ip黑名单），ipwhitelist（ip白名单），reqheaders（自定义回源请求头），respheaders（自定义响应头），reqhost（回源host），errorcode（错误码缓存配置），sharedhost（共享缓存域名）

说明：本章节会介绍如何通过弹性云主机通过内网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 登录弹性云服务器。 通过弹性云服务器连接关系型数据库实例，需要具备以下条件。 该弹性云服务器与目标实例必须处于同一VPC、子网内。 该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云服务器访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云服务器访问，即可连接实例。 如果安全组规则不允许弹性云服务器访问，则需添加安全组规则。该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例。 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 2 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 3 在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

本文将为您介绍如何停用伸缩策略。 操作场景 若您在某一段时间内不需要某个伸缩策略触发伸缩活动，建议您停用该策略。停用的前提条件是您的伸缩策略本身处于启用状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 点击待停用伸缩策略的伸缩组名称，进入到伸缩组详情页面。 5. 在详情页面的下方，单击“伸缩策略”进入伸缩策略页签，单击待停用的伸缩策略所在行的“操作>停用”。 6. 在弹出的“停用”确认弹窗中，确认停用策略信息，确认无误后，点击“确定”，即可停用该策略。

关闭实例保护 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 点击待设置保护状态实例所在的伸缩组名称，进入到伸缩组详情页面。 5. 在伸缩组详情页面的下方，单击“伸缩实例”进入伸缩实例列表页签，勾选待关闭保护状态实例名称前的复选框，单击列表上方的“更多”按钮，在下拉列表中选择“关闭实例保护”。 6. 在“关闭实例保护”弹窗中，确认实例信息，确认无误后，点击“确定”，回到实例列表，可以看到“实例保护”列的属性值变为了“未保护”，此时说明已成功为实例关闭了保护状态。