云主机底层平台的安全由云厂商保证 天翼云云主机负责以下方面的安全性： 数据中心安全：包括机房容灾、人员管理、运维审计等。 物理基础设施安全：涉及计算服务器、网络设备、存储设备的安全，以及数据销毁、网络隔离、资产管理等。 虚拟化系统安全：包括租户隔离、安全加固、逃逸检测修复、补丁热修复、云盘三副本、数据擦除等。 云服务平台安全：包括但不限于云平台主子账号管理、多因素认证机制、云资源加固能力等。 云上资源的防护由客户保证 客户需要对以下方面负责： 操作系统安全：提升访问安全、使用安全加固操作系统、提升操作系统安全性。 网络安全：网络隔离、控制网络流量、网络流量监控、网关访问安全。 数据安全：加密存储、可信计算、备份与恢复等。 应用安全：漏洞防护、应用网络安全、应用流量安全等。 身份与访问控制：细粒度资源管控、多因素账号认证、访问控制安全性等。 监控与日志：健康状态监控、基础云监控、云审计、操作日志等。 安全体系落地实践 以云主机搭建场景WordPress为例，结合天翼云安全责任共担模型，通过以下安全防护措施，确保客户的网站免受常见网络威胁的影响： 购买云主机前 制定全局安全战略，将安全性融入DevOps中，自动化防御体系，深入理解云环境安全合规标准，识别、分类资产并管控访问。 创建云主机时 使用 VPC ：创建虚拟私有网络，实现网络隔离，保护内部网络。 开启安全防护 ：开启主机安全防护功能，如云主机安全卫士，提升主机安全性。 使用加密磁盘 ：选择加密磁盘，保护存储数据的安全。 配置安全组 ：合理配置安全组规则，限制端口访问，避免非法访问。 创建快照策略 ：创建云盘快照策略，定期备份数据，确保数据可用性。 设置 IAM 授权 ：创建 IAM 用户并分配合适权限，避免权限滥用。 云主机创建完成后 SSH 加固：更改 SSH 默认端口，禁用 root 用户登录，提升登录安全性。 配置 MySQL 安全：更改 MySQL 默认密码，限制数据库访问权限，保护数据库安全。 部署 WordPress ：从官方网站下载并安装 WordPress，启用安全插件，如 Wordfence 等，增强应用安全。 配置安全卫士：安装并配置服务器安全卫士，提供实时安全防护，提升系统安全性。 具体操作请参考：++基于弹性云主机部署 WordPress 的安全防护++

对比维度 Deployment StatefulSet 适用场景 适用于无状态应用，如前端 Web 服务、无状态 API 网关、临时计算任务等无需保持状态的服务。 适用于有状态应用，如数据库（MySQL、PostgreSQL）、有状态中间件（Kafka、ZooKeeper）、分布式存储集群（Etcd）等需持久状态的应用。 Pod 命名与启动顺序 Pod 名称由系统随机生成（如 nginxdeploy7cbb48f9d6abc12 ），无固定创建或删除顺序。 Pod 名称按索引顺序固定（如 mysql0 、 mysql1 ），严格按索引顺序依次创建（从0开始）和逆序终止。 存储卷管理 通常多个 Pod 共享同一个 PersistentVolumeClaim（PVC），存储数据的一致性需由应用自身保证。 通过 VolumeClaimTemplate 为每个 Pod 动态创建独立的 PVC，Pod 重建后仍绑定原存储，保证数据持久性。 网络标识稳定性 Pod IP 和 DNS 记录随 Pod 重启或重建而变化，一般通过 Service 以负载均衡方式对外提供服务。 每个 Pod 拥有稳定的 DNS 域名（格式： <podname>.<svcname>.<namespace>.svc.cluster.local ），IP 可能变化但域名永久有效。 更新策略 支持 RollingUpdate（逐步替换 Pod，新Pod就绪后，旧Pod才会被删除，确保更新过程中始终有Pod提供服务）和 Recreate（全部删除后重建），可结合 ReplicaSet 实现版本回滚。 默认采用顺序更新策略（RollingUpdate），按 Pod 索引逐次进行，确保拓扑秩序；也可配置为并行更新。 服务访问方式 通过 ClusterIP 或 LoadBalancer 类型的 Service 统一接入，请求被随机分发到任一后端 Pod。 需配合 Headless Service（ clusterIP: None ）使用，客户端可通过稳定 DNS 直接寻址到特定 Pod。 扩缩容行为 直接调整副本数，新 Pod 无顺序要求，可快速弹性伸缩。 扩容时按索引顺序新增 Pod（如先创建 web2 ，再 web3 ），缩容则按索引逆序终止。 数据持久化特点 适合只读或可共享的存储卷（如 NFS），Pod 销毁后存储卷通常可被其他 Pod 复用。 每个 Pod 对应专属存储，Pod 与存储生命周期绑定，适合需要独立数据目录的场景（如数据库主从节点）。

本文将介绍针对平台操作审计日志进行介绍。 您通过控制台或API进行相关平台操作时，会实时记录操作内容，用于后续追溯、审计。 注意事项 进行平台相关操作时，如新增域名、修改配置等，均会进行记录到操作日志以供查询，目前该服务能力仅支持【零信任服务】【安全与加速】模块的操作相关记录。 建议查询近6个月数据，若有长时间存储日志需求，可联系我们。 以下是【零信任服务】的操作相关说明，如需查询【安全与加速服务】的操作日志，请参考操作日志。 操作步骤 1. 登录边缘安全加速控制台，进入零信任工作台。 2. 在左侧导航栏，选择日志>平台操作日志，可针对需求进行查询相关日志情况。 字段说明 字段 字段说明 操作时间 用户操作的时间。 操作模块 支持记录操作日志的模块名称。 操作内容 操作内容的具体信息。 操作类型 支持查询、新增、修改、删除相关操作动作。 操作状态 成功、失败。其中成功仅意味当下操作成功下发到后端，并不代表配置实际生成成功。 操作人 操作的帐号名称。 零信任支持操作日志的模块 以下是零信任服务支持记录日志的模块： 菜单 操作模块 总览 效能分析 待办事项 权限审批 待办事项 问题反馈 日志 策略处置记录 身份 用户与组织用户 身份 用户与组织组织 身份 用户组管理 身份 同步身份源 身份 扩展认证源 身份 账户安全登录管理 身份 账户安全密码管理 身份 账户安全个人信息管理 应用 应用配置 应用 应用授权 网络 连接器管理 网络 域名解析管理 终端资产 终端列表 终端资产 设备策略用户新设备激活 终端资产 设备策略设备共享 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 安全 动态授权 安全 访问控制 设置 客户端设置客户端限速 设置 客户端设置超时注销登录 设置 客户端设置客户端自保护 设置 网络配置 设置 企业服务状态 设置 企业认证标识 日志 终端登录日志 日志 内网审计日志内网访问审计 日志 内网审计日志网关防护日志 日志 内网日志下载 日志 平台操作日志

本文主要介绍 通过CCE搭建IPv4/IPv6双栈集群。 本教程将指引您搭建一个IPv6网段的VPC，并在VPC中创建一个带有IPv6地址的集群和节点，使节点可以访问Internet上的IPv6服务。 简介 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。如果当前集群中的工作节点（如ECS）使用IPv4，那么启用IPv6后，工作节点可在双栈模式下运行，即工作节点可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 使用场景 如果您的应用需要为使用IPv6终端的用户提供访问服务，则您可使用：IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务，又需要对这些访问来源进行数据分析处理，则您必须使用IPv6双栈。 如果您的应用系统与其他系统（例如：数据库系统）、应用系统之间需要使用IPv6进行内网访问，则您必须使用IPv6双栈。 使用IPv6双栈请参考IPv4/IPv6双栈网络、IPv6弹性公网IP。 约束与限制 支持双栈的集群： 集群类型：CCE集群 集群网络模型：容器隧道网络 集群版本：v1.15及以上 其它说明：于v1.23版本GA（Generally Available） Kubernetes内部Node和Master之间通信使用IPv4地址。 Service类型选择“负载均衡 ( LoadBalancer )”或“DNAT网关 ( DNAT )”时，仅支持对接IPv4。 同一个网卡上，只能绑定一个IPv6地址。 集群开启IPv4/IPv6双栈时，所选节点子网不允许开启DHCP无限租约。 使用双栈集群时，请勿在ELB控制台修改ELB的协议版本。 双栈集群ELB约束： 使用场景 独享型ELB 共享型ELB ELB型Ingress 支持ELB使用双栈。后端服务器不支持使用IPv6协议，仅支持IPv4协议。如您使用IPv6协议，将产生相关告警事件，请前往对应Ingress的“事件”查看。 仅支持IPv4协议。 Nginx型Ingress 不支持使用双栈。 不支持使用双栈。 LoadBalancer类型的Service 七层：不支持使用双栈。四层：支持使用双栈。 仅支持IPv4协议。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是 PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 tempbuffers，临时表缓冲区。 workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭CPU 的节能模式。 关闭NUMA。 建议使用UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本文汇总了使用虚拟私有云产品时常见的操作类问题。 VPC网段、子网的网段是否可以修改？ 不可以 VPC网段、子网的网段一旦创建，不能进行修改。 您可以将云主机、物理机等计算实例更换子网或者更换VPC来实现网段更换，具体参考如何修改内网IP、切换VPC 子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？ 虚拟私有云的子网被弹性云主机、物理机、虚拟IP、NAT网关、弹性负载均衡、路由表等资源使用时，子网无法删除。请根据子网信息排查子网中是否含有以上资源，先删除子网中的全部资源，再删除子网。 什么是安全组？ 安全组是一种虚拟防火墙，用来控制弹性云服务器进出流量，加强弹性云服务器的安全保护。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 安全组规则支持哪些协议？ 安全组规则支持配置TCP、UDP、ICMP和Any，Any表示对所有协议生效。选择TCP、UDP协议时，配置允许该协议访问安全组的端口范围为165535。当您选择ICMP协议时，可以在下拉列表中指定ICMP协议类型，此时默认类型是Any。 安全组默认规则作用是什么？ 安全组规则入方向表示从外部访问弹性云服务器，出方向表示弹性云服务器访问外部。弹性云服务器加入安全组后，如果安全组中没有任何规则，则弹性云服务器无法访问外部网络，同时外部网络也无法访问弹性云服务器。安全组默认出方向规则表示弹性云服务器可以访问外部，默认入方向规则表示弹性云服务器可以被同一安全组内其他弹性云服务器访问。 需要注意的是，安全组不能解决网络故障或网络配置错误类问题。例如，因为网络原因，两个弹性云服务器之间本来就无法互相访问，即使配置了允许他们互相访问安全组规则，这两个弹性云服务器仍无法通信。

简述客户业务接入AOne边缘安全加速各个服务的基本条件。 安全与加速 限制项 具体要求 说明 ::: 加速域名 中国内地： 1.已在天翼云进行实名认证。 2.域名已在工信部备案且备案信息正常有效。 3.域名接入时需要经过内容审核。 加速范围为中国内地、全球的域名必须在工信部备案才能接入AOne安全与加速，否则天翼云无法提供加速服务。 域名额定用量 1.URL刷新：10000条/日。 2.目录刷新：1000条/日。 3.URL预取：2000条/日。 为防止资源滥用，AOne安全与加速限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请提交工单申请扩大额度。 回源 1.请求行&请求头：请求行的最大长度为64k，每个请求头的最大长度为64k，请求行加请求头的大小不能超过256k。 2.超时时间：客户端和网关保持TCP连接的超时时间，默认值 60s。 3.源站端口：http回源端口默认80，支持自定义。https端口默认443，不支持自定义，如需配置非443端口请提交工单申请。 详情请参考[]( 突发带宽限流 若您对AOne安全与加速有突发带宽控制需求，请提前提交工单申请配置全网带宽控制功能。全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 文件 通过AOne安全与加速传输的文件大小默认限制为单个文件最大不超过300MB。支持自定义。 请求方式 支持GET、PUT、POST和HEAD等请求方式。 可以通过回源HTTP请求头功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。

模板的版本信息 nodetemplates: 元素对象定义 myvpc: 虚拟私有云 type: CTC.VPC.VPC properties: name: myvpc 虚拟私有云的名称 cidr: '192.168.0.0/16' 虚拟私有云的网段 mysubnet: 子网 type: CTC.VPC.Subnet properties: name: mysubnet 子网的名称 cidr: '192.168.1.0/24' 子网的网段 gateway: 192.168.1.1 子网的网关 vpcId: 子网所属VPC的ID getreference: myvpc dhcpEnable: true 是否为该VPC的子网开启DHCP功能 requirements: 定义子网与VPC的依赖关系 vpcId: node: myvpc requirements为元素依赖，用于设置与该元素存在依赖关系的其他元素名称。例如子网依赖VPC，模板中在子网的requirements中定义依赖的node为myvpc。 步骤 3 将模板保存为本地文件myvpc.yaml。 步骤 4 登录AOS控制台。 步骤 5 选择左侧导航栏的“我的模板”，单击“创建模板”。 步骤 6 选择上传本地模板，上传本地yaml文件，单击“创建”，系统自动跳转到模板详情页面，可查看到当前模板信息。 模板名称：自定义模板名称，需确保全局唯一，例如设置为myvpc。 版本：设置为1.0。 选择文件：上传本地模板文件。 步骤二：创建虚拟私有云 步骤 1 登录AOS控制台。 步骤 2 在左侧导航栏中，选择“我的模板”。在模板列表中可查看到保存成功的模板myvpc。 步骤 3 单击myvpc模板后的“创建堆栈”。 步骤 4 设置堆栈信息。 堆栈名称：自定义堆栈名称，例如aosmyvpc，需确保该值唯一。 描述：可不填写。 步骤 5 单击“下一步”，查看堆栈信息，确认无误后，单击“创建堆栈”。 系统自动跳转到堆栈详情页面，可查看到当前堆栈为创建中，预计需要1分钟左右创建成功。 步骤 6 待堆栈状态为“正常”时，可查看到堆栈元素中已有两个云服务。 步骤 7 查看已创建的云服务。 登录控制台，选择“虚拟私有云”，可查看到已创建成功的VPC。 单击该VPC名称，进入详情页，可查看到对应的子网也已成功创建。

本小节主要介绍安装Windows Server 2019应用服务器。 安装服务器角色和功能 前提条件 已获取服务器管理员帐号与密码。 操作步骤 1. 使用管理员帐号登录服务器。 2. 打开“服务器管理器”，选择“仪表板”，进入仪表板界面。 3. 单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 开始之前 4. 选择基于角色或基于功能的安装。 选择安装类型 5 在服务器池中选择目标服务器。 选择服务器 6 在服务器角色窗口中，勾选“Active Directory域服务”、“DNS服务器”、“远程桌面服务”三个角色项。 选择服务器角色 7 （可选）选择服务器所需要的其它功能，默认下一步跳过。 选择其他功能 8 选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口。 勾选“Remote Desktop Session Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”四角色服务项。 选择角色服务 9 （可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 选择IIS服务角色 选择服务角色 10 （可选）选择“网络策略和访问服务 ”，进入选择网络策略和访问服务窗口，默认勾选“网络策略服务器”选项。 选择网络策略和访问服务 11 确认配置选择，单击“安装”，请耐心等待安装进度完成。 安装服务器角色 12 安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。

本小节主要介绍安装Windows Server 2016应用服务器。 安装服务器角色和功能 前提条件 已获取服务器管理员帐号与密码。 操作步骤 1 使用管理员帐号登录服务器。 2 打开“服务器管理器”，选择“仪表板”，进入仪表板界面。 仪表板页面 3 单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 开始之前 4 选择基于角色或基于功能的安装。 选择安装类型 5 在服务器池中选择目标服务器。 选择服务器 6 在服务器角色窗口中，勾选“Active Directory域服务”、“DNS服务器”、“远程桌面服务”三个角色项。 选择服务器角色 7 （可选）选择服务器所需要的其它功能，默认下一步跳过。 选择其他功能 8 选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口。 勾选“Remote Desktop Session Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”四角色服务项。 选择角色服务 9 （可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 选择IIS服务角色 选择服务角色 10 （可选）选择“网络策略和访问服务 ”，进入选择网络策略和访问服务窗口，默认勾选“网络策略服务器”选项。 选择网络策略和访问服务 11 确认配置选择，单击“安装”，请耐心等待安装进度完成。 安装服务器角色 12 安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。

本文向您介绍如何修改弹性云主机(Windows)的SID。 操作场景 Windows操作系统是通过安全标识符（SID）对计算机和用户的识别。由于基于同一镜像生产的云服务器实例 SID 相同，会引起无法入域的问题。如果您需要搭建 Windows 域环境，则需要通过修改 SID 以达到入域的目的。本文档以 Windows Server 2012 操作系统云服务器为例，介绍如何使用系统自带sysprep 以及 sidchg 工具修改 SID。 注意 本说明仅适用于 Windows Server 2008 R2 、Windows Server 2012 以及Windows Server 2016及更高版本。 如果有批量修改 SID 的需求，可通过制作自定义镜像（选择 “执行 sysprep 制作镜像”）解决。 修改云主机SID可能导致数据丢失或系统损坏，建议您提前做好数据备份。 操作步骤 使用sysprep修改SID 注意 1. 使用 sysprep 修改 SID 后，系统参数很多都被重新设置，包括 IP 配置信息等，您必须手动重新设置。 2. 使用 sysprep 修改 SID 后，C:UsersAdministrator 将会被重置，系统盘部分数据将被清理，请注意做好数据备份。 1. 使用远程登录方式登录云主机。 2. 在操作系统界面，点击运行，输入cmd，按Enter，打开管理员命令行工具。 在管理员命令行工具中，执行以下命令，保存当前网络配置。 ipconfig /all 3. 以管理员身份使用 PowerShell 执行以下命令。 $unattendContent @" true Work 3 true true "@ $unattendContent OutFile FilePath C:WindowsSystem32Sysprepunattend.xml Encoding UTF8 Force C:WindowsSystem32Sysprepsysprep.exe /generalize /oobe /shutdown /unattend:C:WindowsSystem32Sysprepunattend.xml 4. 执行完成后，系统会自动关机。此时，您可在云平台制作私有镜像。 5. 启动云主机进入操作系统后执行下方命令，验证SID是否已修改，返回类似如下信息，则表示SID已完成修改。 whoami /user 6. 根据步骤2保存的网络配置信息，重新设置网卡相关信息(如IP地址、网关地址、DNS等)。

核心功能 功能说明 专业版 企业版 服务查询 支持查看应用下服务的提供者、消费者和接口元数据等信息。 √ √ 微服务可观测 支持查看最近5分钟的监控数据。 √ √ 金丝雀发布 支持在应用发布时，可以为新版本的应用打上gray的标签，通过按流量比例路由或按内容路由的方式，将灰度流量引入带有gray标签的应用中，从而达到小规模验证的目的。 √ √ 标签路由 支持将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转。 √ √ 无损上下线 无损上线：支持在服务上线时，提供服务预热、延迟注册服务的能力解决流量损失问题。 无损下线：保证应用在下线、重启时流量零损耗。 √ √ 错误注入 支持模拟微服务间异常调用。 √ √ 离群实例摘除 支持监测下游实例的可用性，并摘除异常实例。 √ √ 推空保护 支持当注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。 √ √ 服务鉴权 支持为提供者的服务设置鉴权规则，允许或拒绝某个消费者访问服务。 √ √ 服务测试 支持在控制台填写调用参数、发起服务调用，并得到服务调用的结果。 √ √ 自动化回归 支持通过用例管理和用例集管理能力实现功能快速回归。 √ √ 服务Mock 支持模拟真实后端服务。 √ √ 事件中心 支持通过事件类型和事件来源维度查询事件记录，感知微服务治理事件。 √ √ 操作日志 支持记录关键治理中心操作日志。 √ √ 流量防护 支持以流量为切入口，对请求流量进行流量控制、熔断降级和系统保护等操作。 × √ 网关防护 支持针对SpringCloud Gateway和Zuul应用实现流量控制。 × √ 全链路灰度 支持将多个相同版本的应用划分为同一个泳道，通过全链路流量控制的功能将相同版本的应用隔离成一个独立的运行环境（泳道）。 × √ 功能开关 提供了一个轻量级的动态配置框架，可以在项目中快速接入配置，并在控制台实时管理配置项。 × √ 数据库治理 支持SQL监控统计、SQL流量防护、连接池治理、数据库灰度、数据库读写路由等功能。 × √ 全局鉴权 支持通过创建鉴权规则，实现多个微服务之间通信的身份验证。 × √

本节介绍如何开启云间高速防护。 前提条件 当前账号下已创建云间高速实例，详细操作请参见创建并配置云间高速实例。 仅“企业版”支持开启云间高速防护。 一个云间高速防护将消耗1个“VPC边界防火墙配额”，在开启防护前，需确保有足够的VPC边界防护配额。 开启云间高速防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“云间高速”页签，找到需要开启防护的VPC，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 云间高速列表展示当前账号下所有已创建的云间高速实例。列表包括VPC名称、VPC ID、状态、子网网段 IPV4、云网关ID、云间高速名称、云间高速ID、防护状态。 4. 进入开启云间高速防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 注意 若VPC下有多个业务子网，每个业务子网须分别进行引流配置。在“本端业务子网”下拉框选择不同业务子网以查看对应配置步骤。 4. 开启防护成功。

操作场景 某企业已经在地域A创建了天翼云VPC并在其中部署了应用服务，该企业购买两台设备，采用单机双臂旁挂组网方式接入天翼云，并配置OSPF动态路由主备，实现本地机构和云上资源互通，同时提高可用性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在地域A创建了VPC，具体操作，请参见创建虚拟私有云VPC。 您已经完成云间高速（标准版）的创建，具体操作，请参见创建云间高速（标准版）实例。 您已经将地域A的VPC加载到同一云间高速（标准版）实例中，请参见加载网络实例。 操作步骤 步骤一：购买两台智能网关 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 选择设备接入的区域。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”，则天翼云会为您准备一台设备；选择“否”，则需要用户自备设备。 网关形态 可选择硬件版、软件版，这里我们选择硬件版。 设备类型 购买设备时，需要选择设备的型号。可以选择经济版、标准版、企业版、企业增强版。 使用方式 表示设备的使用方式。这里选择“双机”。 地址信息 表示设备的装机地址。请准确填写地址信息。 购买数量 默认为1。如果您购买的两台设备配置相同，则可以将数量修改为2；如果两台设备的配置不相同，则需要分成两次下单，且购买数量均填写为1。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

检查云主机是否设置了禁Ping Windows 使用命令行方式开启Ping设置。 1. 打开cmd运行窗口。 2. 执行如下命令开启Ping设置。 netsh firewall set icmpsetting 8 Linux 检查云主机的内核参数。 1. 检查文件/etc/sysctl.conf中配置项“net.ipv4.icmpechoignoreall”的值，0表示允许Ping，1表示禁止Ping。 2. 允许PING设置。 − 临时允许PING操作的命令： echo 0 >/proc/sys/net/ipv4/icmpechoignoreall − 永久允许PING配置方法： net.ipv4.icmpechoignoreall0 检查网络ACL规则 VPC默认没有网络ACL，如果关联了网络ACL，请检查“网络ACL”规则。 1. 查看云主机对应的子网是否关联了网络ACL。 如显示具体的网络ACL名称说明已关联网络ACL。 2. 点击网络ACL名称查看网络ACL的状态。 3. 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 检查网络是否正常 1. 检查本地网络，使用相同区域主机进行Ping测试。 使用在相同区域的云主机去Ping没有Ping通的弹性公网IP，如果可以正常Ping通说明虚拟网络正常，请排除本地网络故障后重新Ping测试。 2. 检查是否链路故障。 链路拥塞、链路节点故障、服务器负载高等问题均可能引起执行Ping命令时出现丢包或时延过高的问题。 检查云主机路由配置（多网卡场景） 一般操作系统的默认路由优先使用主网卡，如果出现使用扩展网卡导致网络不通现象通常是路由配置问题。 如果云主机配置了多网卡，请确认云主机内默认路由是否存在。 a. 登录云主机，执行如下命令，查看是否存在默认路由。 ip route 图 查看默认路由 b. 若没有该路由，执行如下命令，添加默认路由。 ip route add default via XXXX dev eth0 XXXX表示网关IP。 如果云主机配置了多网卡，且弹性IP绑定在非主网卡上，需要在云主机内部配置策略路由来实现非主网卡的通信。

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

本章主要介绍绑定域名。 在开放API前，您需要为API分组绑定独立域名，API调用者通过独立域名访问分组内的API。您也可以使用系统分配的调试域名访问API分组内的API。 调试域名（子域名）：API分组创建后，系统为分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，每天最多可以访问1000次。 独立域名：您自定义的域名。最多可以添加5个独立域名，不限访问次数。API调用者通过访问独立域名来调用您开放的API。 说明 同一实例下的不同分组不能绑定相同的独立域名。 调试域名默认只能在与实例相同VPC内的服务器上解析和访问，如果调试域名要支持公网解析与访问，请在实例上绑定公网入口弹性IP。 当独立域名为泛域名（例如.aaa.com）时，用户可以通过泛域名的所有子域名（例如default.aaa.com，1.aaa.com）访问所绑定分组下的所有API。 前提条件 1. 已有独立域名。 2. 已将独立域名A记录解析到实例的入口地址上。 3. 如果API分组中的API支持HTTPS请求协议，那么在独立域名中需要添加SSL证书，请您提前获取SSL证书的内容和密钥，并创建SSL证书。 操作步骤 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击 分组名称 。 步骤 5 单击“分组信息”页签。 步骤 6 在“域名管理”区域，单击“绑定独立域名”，并在弹窗中配置域名信息。 表 独立域名配置 信息项 描述 域名 填写要绑定的域名。 支持最小TLS版本 选择域名访问所使用的最小TLS版本，TLS1.1或TLS1.2，推荐使用TLS1.2。 该配置仅对HTTPS生效，不影响HTTP或者其他访问方式。 支持http to https自动重定向 支持独立域名开启http to https自动重定向。 步骤 7 单击“确定”，将独立域名与API分组绑定。 如果不再需要此域名时，在域名所在行，单击“解绑域名”。 步骤 8 （可选）如果API分组中的API支持HTTPS请求协议，则需要为独立域名绑定SSL证书。否则跳过此步骤。 1. 在域名所在行单击“选择SSL证书”。 2. 在选择SSL证书弹窗中勾选要绑定的SSL证书，然后单击“确定”，完成SSL证书的绑定。 如果选择的SSL证书上传过CA证书，可以勾选“开启客户端认证”即开启HTTPS双向认证。注意，开启/关闭客户端认证会对现有业务有影响，请谨慎操作。 如果证书列表中无可用的SSL证书，可单击“创建SSL证书”，新增SSL证书。

“无法连接目的虚拟机，请检查目的虚拟机IP是否可达，或者8899、8900端口是否开放”该如何处理？ 当连接目的端服务器失败时，提示“sms.1807 sms.2802 无法连接目的虚拟机，请检查目的虚拟机IP是否可达，或者8899、8900端口是否开放”。windows系统迁移时，目的端服务器需要开放8899端口与服务端通信，开放8900端口与源端通信。如果建立通信失败，则会提示该错误。建议您参考本章节操作步骤排查“无法连接目的虚拟机”的原因。 检查源端网络是否可以连通目的端 检查目的端安全组是否开放8899、8900端口 检查目的端网络ACL是否禁用了8899、8900端口 目的端Peagent异常 “源端主机网络繁忙，无法连接api网关”该如何处理？ Agent无法正常启动，Linux系统提示“SMS.0201 Failed to start sms agent! Please check the network connection with below commands!”，Windows系统提示“SMS.0201 源端主机网络繁忙，无法连接api网关”。该问题通常是由于源端没有通公网，无法与SMS/IAM/ECS/EVS/IMS/VPC/OBS等服务通信导致。需要排查源端网络。 迁移Agent与主机迁移服务自动断开连接时，如何重新建立连接？ 服务器迁移实时状态显示连接断开，导致大部分操作无法进行。 问题原因 源端Agent停止运行。 源端Agent长时间不操作（默认为30天，可通过 config/gproperty.cfg的 heartmonitorday参数配置），导致Agent主动与服务断开连接。 源端Agent与SMS服务网络连接异常。 系统被注销或退出了远程登录（部分机器远程登录退出会自动注销），导致SMSAgentPy3/SMSAgentPy2进程退出。 当源端时间与标准时间相差超过15分钟时，会导致AK/SK权鉴失败。例如：源端NTP时间服务器配置错误。 源端服务器为Windows操作系统（Windows Server 2019/Windows Server 2016/Windows Server 2012/Windows 10/Windows 8.1）时 1. 登录源端服务器，在右下角寻找Agent图标，检查Agent是否正常运行。 1. 如果Agent已经退出，请重启Agent。 2. 如果Agent正常运行，请执行2。 2. 在Agent操作界面，检查是否可以单击“启动”按钮。 1. 如果可以启动，表示Agent主动与sms服务断开连接，请单击“启动”，重新连接sms服务。 2. 如果不能启动，请执行3。 3. 检查源端服务器与服务接口的连通性。如果不能连通，请检查是否配置错误的dns，或者是否设置了防火墙导致域名无法访问；如果可以连通，并且正在数据传输阶段。请检查源端出口带宽，如果带宽低于10Mbps，可能是数据传输占满带宽，导致Agent与sms服务连接超时，请提高源端出口带宽到10Mbps以上，再继续迁移。 4. 处理完成后，大约等待1分钟以后，登录目的端管理控制台。 5. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 6. 在左侧导航树中，选择“迁移服务器”。在“迁移实时状态”列查看该源端的连接状态。 源端服务器为Windows操作系统（Windows Server 2008/Windows 7）时 1. 登录源端服务器，查找SMSAgentDeploy.exe进程，检查Agent是否正常运行。 1. 如果SMSAgentDeploy.exe进程不存在，请重启Agent后执行2。重启Agent需要重新迁移。 2. 如果SMSAgentDeploy.exe进程存在，请执行2。 2. 进入SMSAgent安装目录，执行agentcli.exe，并执行status，检查Agent连接状态。 1. 如果状态为True，请执行4。 2. 如果状态为False，表示Agent主动与服务断开连接，请执行3。 3. 输入“connect”，重新连接源端服务器与主机迁移服务。当回显信息中的 “Connected between sms agent and sms server”为True时，表示源端服务器与主机迁移服务已恢复连接。 4. 检查源端服务器与服务接口的连通性。如果不能连通，请检查是否配置错误的dns，或者是否设置了防火墙导致域名无法访问；如果可以连通，并且正在数据传输阶段。请检查源端出口带宽，如果带宽低于10Mbps，可能是数据传输占满带宽，导致Agent与sms服务连接超时，请提高源端出口带宽到10Mbps以上，再继续迁移。 5. 处理完成后，大约等待1分钟以后，登录目的端管理控制台。 6. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 7. 在左侧导航树中，选择“迁移服务器”。在“迁移实时状态”列查看该源端的连接状态。 源端服务器为Linux操作系统时 1. 使用PuTTY或者SSH客户端，登录待迁移的源端服务器。 2. 执行 ps ef grep v grep grep linuxmain检查Agent是否正常运行。 1. 如果没有linuxmain进程，请重新启动Agent。 2. 如果有linuxmain进程，请执行3。 3. 在SMSAgent目录下执行 ./agentcli.sh，进入 agentcli操作界面，然后执行 status，检查Agent连接状态。 1. 如果状态为True，执行步骤5。 2. 如果状态为False，表示Agent主动与服务断开连接，请执行4。 4. 输入“connect”，重新连接源端服务器与主机迁移服务。当回显信息中的 “Connected between sms agent and sms server”为True时，表示源端服务器与主机迁移服务已恢复连接。 5. 检查源端服务器与服务接口的连通性。如果不能连通，请检查是否配置错误的dns，或者是否设置了防火墙导致域名无法访问；如果可以连通，并且正在数据传输阶段。请检查源端出口带宽，如果带宽低于10Mbps，可能是数据传输占满带宽，导致Agent与sms服务连接超时，请提高源端出口带宽到10Mbps以上，再继续迁移。 6. 处理完成后，大约等待1分钟以后，登录目的端管理控制台。 7. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 8. 在左侧导航树中，选择“迁移服务器”。在“迁移实时状态”列查看该源端的连接状态。

本节主要介绍安装Windows Server 2012 R2应用服务器。 安装服务器角色和功能 1 打开“服务器管理器”，选择“仪表板”，进入仪表盘界面。 仪表盘页面 2 单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 开始之前 3 选择基于角色或基于功能的安装。 选择安装类型 4 在服务器池中选择目标服务器。 选择服务器 5 在服务器角色窗口中，勾选“Active Directory域服务”、“DNS服务器”、“远程桌面服务”三个角色项。 选择服务器角色 6 （可选）选择服务器所需要的其它功能，默认下一步跳过。 选择其他功能 7 选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口。 选择远程桌面服务角色 勾选“远程桌面会话主机”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”四角色服务项。 选择角色服务 8 （可选）选择“网络策略和访问服务 > 角色服务”，进入选择网络策略和访问角色服务窗口，默认勾选“网络策略服务器”角色选项。 选择网络策略和访问服务角色 选择服务角色 9 （可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 选择IIS服务角色 选择服务角色 10 确认配置安装选择，单击“安装”，请耐心等待安装进度完成。 安装服务器角色 11 安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。

本小节介绍安装Windows Server 2008 R2应用服务器。 安装环境介绍 以下为安装AD域环境的服务器信息： Windows Server版本：Windows Server 2008 R2（所有软件包已经全部安装完成） IP：192.168.X.X/X 网关：192.168.X.X DNS：192.168.X.X 域名：example.com 计算机名：server 安装AD域 修改计算机名和服务器静态IP 修改服务IP地址，并且将DNS地址指向本机，然后修改计算机名为server。安装AD域服务之后，机器名称会自动变成“主机名+域名”的形式。 说明 安装AD域 在命令行下输入 dcpromo.exe ，安装AD域和DNS服务器，不能使用添加角色向导的方式将AD域和DNS服务器安装在一起。 AD域服务安装向导 1 安装AD域，单击“下一步”。 2 单击“下一步”。 3 选择“在新林中新建域”，单击“下一步”。 4 单击“下一步”。 5 设置林功能级别，在下拉菜单中选择“Windows Server 2008 R2”，单击“下一步”。 6 勾选“DNS服务器”，单击“下一步”。 7 界面显示“无法创建DNS委派”，单击“是”，然后继续。 8 选择数据库文件和日志文件的目录，采用默认配置即可，单击“下一步”。 9 设置目录还原模式的密码，还原模式的Administrator密码不等于系统密码，单击“下一步”。 10 界面显示信息概要，单击“下一步”。 11 勾选“完成后重新启动”。 12 重启后，用域用户登录。 13 AD域环境安装完成。

介绍CIFS协议挂载具体步骤。 挂载说明 本章节挂载操作除天津资源池2区、天津资源池3区外适用。 Linux系统挂载 Linux使用CIFS文件资源需要使用CIFS客户端连接。以下是在 centos 7 上安装 CIFS客户端并且挂载的过程。操作步骤如下： 1. 安装CIFS客户端：yum install cifsutils。 2. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 3. 执行以下命令进行资源连接：sudo mount v t cifs o username"cifsUser",password"password" //直连模式资源挂载地址/媒体存储控制台用户名文件系统名称 本地挂载目录。 4. 在本地挂载目录下可以进行正常的文件操作。 5. 如需卸载，可使用以下命令：sudo umount 本地挂载目录。 温馨提示：步骤3的连接命令中，“媒体存储控制台用户名”可在对应的文件系统点击 【查看】 ，从“用户标识“字段获取。 Windows系统挂载 通过直连模式使用的CIFS文件资源需要使用Windows系统内置的客户端。以下是在 win10 上连接 CIFS文件资源的示例。操作步骤如下： 1. 出于安全性考虑，直连文件系统使用了非默认的CIFS服务端口，因此需要在您的电脑上进行一些设置方可进行正常的连接与使用。 2. 关闭445端口，services.msc中找到Server的服务，属性禁用，然后停止服务（必要时可重启电脑）。 3. 设置端口转发，打开cmd窗口执行下列命令：netsh interface portproxy add v4tov4 listenport445 connectaddressxxx.xxx.xxx.xxx connectport9445。 其中connectaddress是对应文件空间的网关地址，可在对应的文件空间详情中获取，具体可参考：文件空间管理。 4. 右键点击"此电脑"，选择"映射网络驱动器"，在文件夹一项中按图例填写，勾选"登录时重新连接"和"使用其他凭证连接"，点击"完成"。 5. 输入网络凭证窗口，输入创建文件系统时设定的账号和密码，点击"确定"。 6. 连接成功后能够在此电脑网络位置中查看到文件系统。 7. 在连接成功的文件系统中可以进行正常的文件操作。 8. 如需卸载，可在磁盘上点击右键，选择"断开连接"。

本章主要介绍创建流控策略。 操作场景 流量控制可限制单位时间内API的被调用次数，保护后端服务。 为了提供持续稳定的服务，您可以通过创建流控策略，针对部分API进行流量控制。 流控策略和API本身是相互独立的，只有将流控策略绑定API后，流控策略才对绑定的API生效。 说明 每个用户最多可创建30个流控策略。 同一个环境中，一个API只能被一个流控策略绑定，但一个流控策略可以绑定多个API。 若API未绑定流控策略，则系统默认流控限制为200次/秒。 前提条件 需要绑定的发布API。 创建流控策略 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击“创建策略”。 步骤 5 单击需要创建的策略类型，选择传统策略，单击“流量控制”。 弹出“创建流控策略”对话框，输入如下表 所示信息。 表 流控策略信息 信息项 描述 策略名称 API流控策略名称。 类型 分“基础流控”和“共享流控”两类。 l 基础流控针对单个API进行流量统计和控制； l 共享流控针对绑定了该策略的所有API进行总流量统计和控制。 时长 流量限制的时长。 l 与“API流量限制”配合使用，表示单位时间内的单个API请求次数上限。 l 与“用户流量限制”配合使用，表示单位时间内的单个用户请求次数上限。 l 与“凭据流量限制”配合使用，表示单位时间内的单个凭据请求次数上限。 l 与“源IP流量限制”配合使用，表示单位时间内的单个IP地址请求次数上限。 API流量限制 单个API被调用次数上限。 与“时长”配合使用，表示单位时间内的单个API请求次数上限。 用户流量限制 单个用户调用API次数上限，仅在API 的安全认证方式为APP 认证或IAM 认证时适用 。 l 不超过“API流量限制”。 l 与“时长”配合使用，表示单位时间内的单个用户请求次数上限。 l 如果主账号下有多个子用户访问API，按主账号累计的调用次数进行限制。 凭据流量限制 单个凭据调用API次数上限，仅在API 的安全认证方式为APP 认证时适用 。 l 不超过“用户流量限制”和“API流量限制”。 l 与“时长”配合使用，表示单位时间内的凭据请求次数上限。 源IP流量限制 单个IP地址调用API次数上限。 l 不超过“API流量限制”。 l 与“时长”配合使用，表示单位时间内的IP地址请求次数上限。 描述 关于控制策略的描述。 步骤 6 单击“确定”，完成流量控制策略的创建。 创建成功后，流量控制页面增加显示新创建的策略。您可以将相关API绑定到该策略，以实现流量控制。

步骤一：添加防护网站 如果您的业务服务器部署在云上，您可以将网站的域名或IP添加到WAF，使网站流量切入WAF。 前提条件 已申请WAF独享引擎实例。 约束条件 接入Web应用防火墙的网站已使用公网ELB（Elastic Load Balance）代理用作负载均衡。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前没有使用CDN、云加速等七层代理服务器，且ELB使用的是四层负载均衡（NAT等方式），“是否已使用代理”务必选择“否”，其他情况，“是否已使用代理”选择“是”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角选择区域或项目。 步骤 3 单击页面左上方，选择“安全 >Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在网站列表左上角，单击“添加防护网站”。 步骤 6 配置“域名信息”。 “网站名称”：可选参数，自定义网站名称。 “防护对象”：防护的域名或IP，域名支持单域名和泛域名。 “网站备注”：可选参数，网站的备注信息。 说明 WAF不支持添加带有下划线（）的泛域名。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 步骤 7 源站配置，参数说明如表所示。 参数 参数说明 取值样例 防护对象端口 在下拉框中选择面要防护的端口。配置80/443端口，在下拉框中选择“标准端口”。 81 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 VPC：选择独享引擎实例所在的VPC。 为了实现业务双活，避免业务单点故障，建议在同一VPC下申请两个WAF实例 源站地址：客户端（例如浏览器）访问的网站服务器的私网/内网IP地址。支持以下两种IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:000 源站端口：WAF独享引擎转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP 源站地址：XXX .XXX.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。 成功导入的新证书，将添加到“证书管理”页面的证书列表中。 说明 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请将证书转换为PEM格式，再上传。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 步骤 8 高级配置。 “是否已使用代理”：为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，请务必选择“是”。 选择“策略配置”：默认为“系统自动生成策略”，您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。系统自动生成的策略说明如下： Web基础防护（“仅记录”模式、常规检测）：仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 网站反爬虫（“仅记录”模式、扫描器）：仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 说明 “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。 步骤 9 单击“确认”，添加域名完成。

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

本文主要介绍采集常见错误类型。 以下为常见的错误类型以及对应的解决方法说明，可供参考。 LTS 错误码 错误说明 英文说明 解决方法 LTS1400 数据包从产生到发送的过程中等待的时间较长 The waiting time for data packets from generation to transmission is relatively long 检查发送是否正常，或是否存在数据量超过默认配置、配额不足或网络存在问题。 LTS1401 无权限读取指定文件 No permission to read the specified file 检查lmtagent的启动账号，建议以root方式启动。 切要采集的日志目录具备读权限 LTS1402 行首正则与日志行首匹配失败，无法对日志做分行 Failed to match the beginning of the line with the log entry's starting pattern, unable to split the log into lines 检查行首正则正确性。 若是单行日志可以配置为.。 LTS1403 完整正则模式下，日志内容和正则表达式不匹配 No match found between log content and regular expression in full regex mode 查看错误详情，重新调整正则规则适配日志原文。 LTS1404 JSON、分隔符等模式下，由于日志格式不符合定义而解析失败 Parsing failed in JSON, delimiter, and other modes due to mismatched log format definitions 查看错误详情，重新调整规则适配日志原文。 LTS1405 采集配置不合法 The collection configuration is invalid 采集配置JSON格式有误，可以通过控制台重新编辑下发规则。 LTS1406 因超过服务器资源使用上限而崩溃 Crashed due to exceeding server resource limits 调整CPU/内存上限， 主机需要调整 /etc/systemd/system/lmtagent.service 里几个限额项 MemoryMax/MemoryLimit/CPUQuota ； 容器需要在ccse控制台调整日志插件的YAML文件中定义的限额项 resources.limit.cpu/resources.limit.memory。 LTS1407 在Linux系统中注册日志监听失败，可能由于没有文件夹权限或文件夹被删除 Failed to register the log listener in the Linux system, possibly due to lack of folder permissions or the folder being deleted 检查采集器是否有权限访问该文件夹，或者该文件夹是否被删除。 LTS1408 日志采集进度落后于日志产生进度 Log collection is lagging behind log generation 采集有部分延迟，应避免一个配置文件采集过多目录，可以通过拆分配置来解决，如果持续出现错误可以提工单反馈。 LTS1409 日志采集进度落后于日志产生进度，且未处理的日志轮转超过20个，开始丢弃日志 Log collection is lagging behind log generation, and with over 20 unprocessed log rotations, logs are now being discarded 采集延迟较多，应避免一个配置文件采集过多目录，可以通过拆分配置来解决，如果持续出现错误可以提工单反馈。 LTS1410 没有日志监控目录读取权限 No read permission for the log monitoring directory 检查日志监控目录是否存在。如果存在，请检查目录权限设置。 LTS1411 日志采集配置目录中的文件数超限 The number of files in the log collection configuration directory has exceeded the limit 检查采集的目录下是否有较多文件和子目录并合理设置监控目录最大深度。 LTS1412 进程退出时日志落盘到本地超时，此时会丢弃未落盘完成的日志 When the process exits, flushing logs to disk times out, and any unfinished logs will be discarded 该报错通常为采集严重阻塞导致，如果持续出现错误可以提工单反馈。 LTS1413 输入源采集异常 Input source collection exception 查看详细报错，根据具体错误信息进一步排查。 LTS1414 过滤器初始化异常 Filter initialization exception 一般由于过滤器的正则表达式非法导致，请根据提示修复。 LTS1415 向聚合队列中添加数据失败 Failed to add data to the aggregation queue 数据发送过快。若真实数据量很大，可忽略。 LTS1416 Checkpoint解析失败 Checkpoint parsing failed 查看详细报错，根据其中检查点内容（前1024个字节）以及具体错误信息进一步排查。 LTS1417 同时监听的目录数超出限制 The number of simultaneously monitored directories exceeds the limit 检查当前采集配置是否包含较多的目录数，合理设置监控目录最大深度。 LTS1418 执行命令添加Docker文件映射失败 Failed to add Docker file mapping when executing the command 查看详细报错，根据具体错误信息进一步排查。 LTS1419 无法在Docker容器中查找到指定文件 The specified file could not be located within the Docker container 查看详细报错，根据其中的容器信息以及查找的文件路径进一步排查。 LTS1420 servicedockerstdout插件错误，根据配置中的BeginLineRegex编译失败 Error in servicedockerstdout plugin: failed to compile BeginLineRegex from configuration 查看详细报错，检查其中的正则表达式是否正确。 LTS1421 同时打开的文件对象数量超过限制 The number of simultaneously open file objects has exceeded the limit 一般因为当前处于采集状态的文件数过多，请检查采集配置是否合理。 LTS1422 processorsplitlogregex以及 processorsplitlogstring插件错误，无法从日志中获取到配置中指定的SplitKey。 Error in processorsplitlogregex and processorsplitlogstring plugins: unable to extract the configured SplitKey from log data 查看详细报错，检查是否存在配置错误的情况。 LTS1423 执行LZ4压缩发生错误 Error occurred during LZ4 compression execution 查看详细报错，根据具体错误信息进一步排查。 LTS1424 已打开文件数量超过限制，无法打开新的文件 The number of open files has exceeded the limit, preventing new files from being opened 日志采集配置目录中的文件数超限 ，默认上限为100000，需要检查采集配置是否通配了过多文件，调整采集规则。 LTS1425 打开文件出错 Error opening file 文件无法打开，需要查看文件是否损坏。 LTS1426 processorregex插件错误，编译配置中指定的Regex正则表达式失败 Error in processorregex plugin: failed to compile the Regex expression specified in the configuration 查看详细报错，检查其中的正则表达式是否正确。 LTS1427 日志解析速度过慢 Log parsing speed is too slow 查看详细报错，根据其中的日志数量、缓冲区大小、解析时间来确定是否正常。 如果不正常，检查是否有其他进程占用了过多的CPU资源或是存在效率较低的复杂正则表达式等不合理的解析配置。 LTS1428 processorregex插件错误，无法从日志中找到配置中SourceKey指定的字段 Error in processorregex plugin: unable to locate the field specified by SourceKey in the configuration from the log data 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1429 processorregex插件错误，匹配失败 Error in processorregex plugin: match failed 查看详细报错，报错根据内容分为如下类型，请根据具体的错误信息进行排查。 unmatch this log content...：日志无法匹配配置中的正则表达式 match result count less...：匹配的结果数量少于配置中指定的 Keys 数量。 LTS1430 splitchar以及splitstring插件错误，无法从日志中找到配置中SourceKey指定的字段 Error in splitchar and splitstring plugins: unable to locate the field specified by SourceKey in the configuration from the log data 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1431 processorsplitchar以及processorsplitstring插件错误，解析得到的字段数量与SplitKeys中指定的不相同 Error in processorsplitchar and processorsplitstring plugins: the number of parsed fields does not match the count specified in SplitKeys 查看详细报错，检查是否存在SourceKey配置错误或日志不合法的情况。 LTS1432 解析日志时间失败 Failed to parse log timestamp 正则表达式提取的时间字段是否正确。 指定的时间字段内容是否匹配配置中的时间表达式。 LTS1433 checkpoint相关错误 Checkpointrelated error 读取checkpoint文件格式异常，需要确认文件是否被修改，可能导致重采，如果持续出现错误可以提工单反馈。 LTS1434 inotify监听超限 inotify watch limit exceeded 监听目录数超限 ，默认上限为3000，需要检查采集配置是否通配了过多文件，调整采集规则。 LTS1435 采集器启动配置不存在或解析失败 Collector startup configuration does not exist or failed to parse 主机采集器启动配置格式有误，需要确认文件是否被修改，如果持续出现错误可以提工单反馈。 LTS1436 采集队列已满 The collection queue is full 网络中断等原因导致数据无法上报，反压队列满，会持续重试1h等待恢复，如果持续出现错误可以提工单反馈。 LTS1437 本地目录下配置过多 Too many configurations in the local directory 查看详细报错，根据具体错误信息进一步排查。 LTS1438 采集器上报插件初始化失败 Collector reporting plugin initialization failed 先确认VPCE私网域名是正常开通。如果持续出现错误可以提工单反馈。 LTS1439 采集器上报插件endpoint无法连接 Unable to connect to the endpoint of the collector reporting plugin 先确认VPCE私网域名是正常开通，以及本地DNS到VPCE域名是否能ping通。如果持续出现错误可以提工单反馈。 LTS1440 上报日志网关中出现错误 Error occurred in the log gateway during reporting token失效或者到日志网关的网络不通。如果是token失效需确认AK/SK是否有getToken权限。 LTS1441 上报日志网关后返回错误 The log gateway returned an error after reporting 查看详细报错，根据具体错误信息进一步排查。 LTS1442 获取token失败 Failed to retrieve token 用户指定的AK/SK 获取token失败，可能是未正确授权。查看详细报错，根据具体错误信息进一步排查。 LTS1443 采集内部错误 Internal collection error 未定义在上面详细错误码的都归在此类，需要查看详细报错，根据具体错误信息进一步排查。

本章节介绍SMB协议挂载。 挂载说明 本章节挂载操作适用于天津资源池2区、天津资源池3区。 Linux系统挂载 Linux使用SMB文件资源需要使用CIFS客户端连接。以下是在 centos 7 上安装CIFS客户端并且挂载的过程。操作步骤如下： 1. 安装CIFS客户端：yum install cifsutils。 2. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 3. 执行以下命令进行资源连接，具体的挂载命令可在对应的文件系统点击【管理】，从“挂载点命令“字段获取，username与password需要根据具体的SMB用户填写。 4. 在本地挂载目录下可以进行正常的文件操作。 5. 如需卸载，可使用以下命令：sudo umount 本地挂载目录。 Windows系统挂载 通过直连模式使用的CIFS文件资源需要使用Windows系统内置的客户端。以下是在 win10 上连接 CIFS文件资源的示例。操作步骤如下： 1. 出于安全性考虑，直连文件系统使用了非默认的CIFS服务端口，因此需要在您的电脑上进行一些设置方可进行正常的连接与使用。 2. 关闭445端口，services.msc中找到Server的服务，属性禁用，然后停止服务（必要时可重启电脑）。 3. 设置端口转发，打开cmd窗口执行下列命令(其中connectaddress为您服务提供地址)：netsh interface portproxy add v4tov4 listenport445 connectaddressxxx.xxx.xxx.xxx connectport"port"。 其中connectaddress是对应文件空间的网关地址，可在对应的文件空间详情中获取，具体可参考：文件空间管理。connectport可查看挂载点信息获取（下图红框内容）。 4. 右键点击"此电脑"，选择"映射网络驱动器"，在文件夹一项中填写：127.0.0.1媒体存储控制台用户文件系统名称，勾选"登录时重新连接"和"使用其他凭证连接"，点击"完成"。 挂载点名称可查看挂载点名称获取（下图红线处内容）。 5. 输入网络凭证窗口，输入创建文件系统时设定的账号和密码，点击"确定"。 6. 连接成功后能够在此电脑网络位置中查看到文件系统。 7. 在连接成功的文件系统中可以进行正常的文件操作。 8. 如需卸载，可在磁盘上点击右键，选择"断开连接"。

本章节以NodeJS和Python语言为例，指导用户如何开发后端解析函数，获取上传的文件。 应用场景 端侧文件上传云主机器是Web和App应用的一类场景，例如服务运行日志的上报，Web应用图片上传等，函数可作为后端，结合APIG提供通用的API处理这类场景。 约束与限制 1. 单次请求上传文件大小不超过6MB。 2. 函数逻辑处理时间不超过15分钟。 操作步骤 1. 创建函数。 1. 登录函数工作流控制台，在左侧导航栏选择“函数 > 函数列表”，单击“创建函数”。 2. 选择“创建空白函数”，填写函数信息，完成后单击“创建函数”。选择运行时：Node.js 14.18。 3. 在“代码”页签，复制如下代码替换默认的函数代码，并单击“部署”更新函数。 const stream require("stream"); const Busboy require("busboy"); exports.handler async (event, context) > { const logger context.getLogger() logger.info("Function start run."); if (!("contenttype" in event.headers) !event.headers["contenttype"].includes("multipart/formdata")) { return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'The request is not in multipart/formdata format.', }; } const busboy Busboy({ headers: event.headers }); let buf Buffer.alloc(0); busboy.on('file', function (fieldname, file, filename, encoding, mimetype) { logger.info('filename:' + JSON.stringify(filename)) file.on('data', function (data) { logger.info('Obtains ' + data.length + ' bytes of data.') buf Buffer.concat([buf, data]); }); file.on('end', function () { logger.info('End data reception'); }); }); busboy.on('finish', function () { //这里处理数据 logger.info(buf.toString()); return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'ok', }; }); //APIG（专享版）触发器默认对数据进行Base64编码，这里解码 const body Buffer.from(event.body, "base64"); var bodyStream new stream.PassThrough(); bodyStream.end(body); bodyStream.pipe(busboy); } 2. 配置函数依赖。 1. 制作依赖包。代码中选择busboy库解析上传的文件，需要生成Node.js14.18版本对应的依赖包busboy.zip。如果您使用Node.js语言其他版本，请制作对应版本的依赖包。 2. 创建依赖包。在左侧导航栏“函数 > 依赖包”管理页面，单击“创建依赖包”，配置完成后单击“确定”。 3. 添加依赖包。进入uploadfile1函数详情页面，在“代码”页签最底部，单击“添加依赖包”。在“私有依赖包”的包源中，选择上一步创建的busboy依赖包，单击“确定”，完成依赖包的添加。 3. 配置APIG（专享版）触发器。 1. 在uploadfile1函数详情页面，单击“设置 > 触发器”，开始创建触发器。 2. 单击“创建触发器”，触发器类型可以选择“API 网关服务(APIG 专享版)”。安全认证：此处为方便测试，配置“None”，实际业务请选择更安全的认证方式，例如IAM认证等。请求协议：选择“HTTPS”。请求方法：在下拉列表中根据需求选择。后端超时（毫秒）：默认5000毫秒。 4. 端到端测试：以curl工具为例（curl F的方式主要用的是linux环境），您也可以选择postman等其他工具，在本地创建app.log文件，内容自定义。执行如下命令测试： curl iv {APIG（专享版）触发器URL} F upload@/{本地文件路径}/app.log

接口功能介绍 添加网关路由 接口约束 无 URI POST /cgw/v1/route/create 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池编码 7a2828074ef6e32e041a2ef124b19e63 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 cookiePredicates 否 Array of Objects 请求参数（Cookie）匹配，区分大小写 Predicate description 否 String 路由描述 用于灰度测试的路由 destinationType 是 String 目标服务类型：single：单服务；multiple:多服务；versionoriented：标签路由；mock: Mock路由, redirect: 重定向，dubboproxy：dubbo代理 single dubboProxy 否 Object dubbo代理路由时需要填写 DubboProxyDTO headerPredicates 否 Array of Objects 请求头（Header）匹配 Predicate hosts 否 Array of Strings 域名 ["test.com"] instId 是 String 实例Id 7a9n7g6d4ef6e32e041a2ef124b19e63 methods 否 Array of Strings HTTP方法，为空表示包含所有方法 ["GET"] mockResponse 否 Object Mock路由响应体 MockResponse name 是 String 名称 test priority 否 Integer 优先级，默认值为0 12 queryPredicates 否 Array of Objects 请求参数（Query）匹配 Predicate redirect 否 Object 重定向 Redirect routeAuthType 否 String 认证方式,默认值为NOAUTH NOAUTH routeTagNormalize 否 Object 路由参数规整化 RouteTagNormalizeDTO routeTagNormalizedFlag 否 Boolean 是否启用路由参数规整化处理 false status 是 Integer 路由状态 0 type 否 String 创建来源，默认值control upstreamList 否 Array of Objects 目标服务 DestinationUpstream uri 是 String 路径 /app/a 表 Predicate 参数 是否必填 参数类型 说明 示例 下级对象 key 否 String KEY name type 否 String 匹配类型，：等于，~~：不等于，>：大于，>：大于等于，<：小于，<：小于等于，~~：正则匹配，~~：正则匹配(不区分大小写)，IN：存在于 value 否 String 值 tom 表 MockResponse 参数 是否必填 参数类型 说明 示例 下级对象 code 否 Integer Mock路由响应code 200 responseJson 否 String Mock路由响应体json {“hello”: “world”} 表 DubboProxyDTO 参数 是否必填 参数类型 说明 示例 下级对象 method 否 String dubbo服务方法，调用的dubbo方法名。路由为dubbo代理类型时不可为空 dubboMethod serviceName 否 String dubbo服务名，传入服务完整包名。路由为dubbo代理类型时不可为空 com.test.a.dubbo.service serviceVersion 否 String dubbo服务版本。默认值："0.0.0" 0.0.0 表 Redirect 参数 是否必填 参数类型 说明 示例 下级对象 code 否 Integer 重定向code 301 uri 否 String 重定向uri /app/b 表 RouteTagNormalizeDTO 参数 是否必填 参数类型 说明 示例 下级对象 hashFlag 是 Boolean 是否进行hash false moduloOperationValue 是 Integer 取模数值 100 paramLocation 是 String 参数位置，支持header, query, cookie header paramName 是 String 参数名称 id tagExactValues 否 Array of Integers 精确型标记取值，传入匹配值 [1001, 1002] tagRangeValueList 否 Array of Objects 范围型标记取值，传入最大和最小值。支持传入多组范围，多组范围之间是或关系 TagRangeDTO tagType 是 String 标记类型。范围：range， 0~~1000 or 2000~~3000；精确：exact: 0,1,2 exact 表 TagRangeDTO 参数 是否必填 参数类型 说明 示例 下级对象 includeMax 否 Boolean 是否包含最大值 false includeMin 否 Boolean 是否包含最小值 false max 否 Integer 范围上限 1000 min 否 Integer 范围下限 1 表 DestinationUpstream 参数 是否必填 参数类型 说明 示例 下级对象 upstreamId 是 String 目标服务id 7a2828074ef6e32e041a2ef124b19e63 upstreamName 是 String 服务名 svctest upstreamType 是 String 服务类型 control versionId 否 String 服务的版本id，用于标签路由 10000 versionName 否 String 服务的版本名称，用于标签路由 v1 weight 否 Integer 服务权重。多服务，标签路由等需要设置服务权重时传入 100

本文介绍授权概述。 概述 根据权限类型，分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系，以及如何为服务账号授予相应权限。 权限类型 权限类型 是否必须授权 权限说明 资源委托 首次使用CCE One服务时需要授权，使用天翼云账号（主账号，或者具有管理员权限的子账号）授权一次即可。 授权后，CCE One服务才能正常访问其他关联云资源，并正常运行。 IAM策略 主账号无需额外授权，IAM子账号必须授权；基于IAM策略权限，可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 授权后，IAM子账号才能正常使用CCE One产品功能，或具备管理某些特定实例生命周期的权限。 实例RBAC 主账号及实例创建账号（若为子账号）无需额外授权；其他子账号必须授权； 授权后，IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作；前提条件是，该IAM子账号需要已具备相关实例的IAM读权限。 资源委托 资源委托是云服务在特定情况下，因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。例如，CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时，需要创建弹性负载均衡ELB以及弹性IP，因此需要这俩产品的相关权限。 使用分布式容器云平台服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。 若您尚未对CCE One进行资源委托授权，在进入CCE One任一订购页时，将提示您进行必要的委托授权。 点击【点击此处授权】后，将弹出详细授权说明。 再次点击【确定授权】，后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面，可以看到CCE One对应委托记录如下，委托名“CtyunAssumeRoleForCCEONE”。

本节介绍云等保专区产品的数据库审计配置类问题。 数据库审计如何进行接入配置？ 1. 首先进入到数据库审计原子能力后先修改管理口IP，在菜单栏选择“ 系统管理 > 系统配置 ”进入系统配置页面，选择网络页签，点击操作列中的“编辑”。 在弹出的编辑网口对话框中修改网口的IPv4地址、子网掩码、IPv6等配置信息，点击“保存”。 如果该网口是管理口，除修改网口的IPv4地址、子网掩码、IPv6配置信息，还可设置IPv4网关。 在网口管理区域的操作列中点击是否启用开关，可启用或禁用选中的网口（管理口无法被禁用）。 2. 然后添加系统需要审计的数据库，在菜单栏选择“ 资产 > 资产管理 ”进入资产管理页面，选择资产管理页签，点击“添加”。 在弹出的添加资产页面编辑相关信息。 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。 3. 然后配置数据库的安全规则和过滤规则，在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“推荐”，切换至“全部”。 用户也可以管理自定义的规则，新增自定义安全规则的操作方法如下：在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“新增”。 在新增规则对话框中编辑相关信息，点击“保存”。 接着启用规则，在菜单栏选择“规则配置 > 安全规则”进入安全规则页面，选择规则管理页签，在规则列表中勾选目标规则，点击“启用选中项”。 在弹出对话框中勾选资产，点击“确定”，则可将已启用的规则直接应用到选择的资产上。 4. 最后便于用户及时了解数据库的运行状态及安全告警信息，可查看报表订阅和告警通知，在菜单栏选择“报表中心 > 报表预览”进入报表预览页面，点击页面右上角的“订阅”。 进入添加订阅任务页面，编辑相关信息，点击“保存”。 系统支持多种消息通知模式，可及时将当前资产告警情况以及系统本身的状态信息提供给管理员，目前支持邮件、短信、企业微信、钉钉、SNMP、Syslog六种通知方式，详情阅读用户手册进行设置。

功能 描述 首页 资产总量分布 统计资产总数及不同类型资产数目及占比。 统计主机风险资产、网站风险资产占比（风险等级非信息类资产）。 首页 弱点总量分布 统计当前发现的所有弱点数及根据不同弱点类型统计弱点数目。 首页 资产风险分布 从不同风险等级维度统计风险资产数量。 首页 风险主机TOP5 根据风险主机弱点数，列出风险数最多的5个主机资产。 首页 风险网站TOP5 根据风险网站的弱点数，列出风险数最多的5个网站资产。 首页 主机资风险/服务分布 统计主机资产出现次数最多的10个弱点、漏洞风险、服务类型、端口。 首页 网站资产风险/服务分布 统计网站资产出现次数最多的10个弱点、漏洞风险、服务类型。 首页 弱点发现趋势 按时间展示弱点的趋势状态，弱点的数据包括所有扫描类型的数据（不包含信息类漏洞）。 资产管理 资产列表 支持主机资产、网站资产两种类型。 支持新增、导入、导出、删除、编辑资产。 支持按照组织视角展示资产。 资产管理 授权管理 支持主机授权信息管理。 支数据库授信息管理。 任务管理 创建任务 支持创建通用任务、专项任务。 通用任务支持主机扫描、网站扫描、数据库扫描、基线配置核查、事件内容。 专项任务支持弱口令扫描、存活主机探测、大数据漏洞扫描、物联网漏洞扫描、信创漏洞扫描。 任务管理 任务列表 支持查看已下发的所有扫描任务，可对任务进行集中管理，包括查询任务、新增任务、执行任务等。 模板中心 漏洞模板 支持主机策略、网站策略、数据库策略管理。 支持新增、编辑、另存为、删除、查看策略。 支持使用自定义策略下发扫描任务。 模板中心 基线模板 支持工信部、公安部行业基线核查模板。 支持对应用程序、操作系统、网络设备、虚拟化设备、数据库五类资产的安全配置进行核查。 支持查看基线模板详情。 模板中心 扫描参数 支持设置主机扫描、网站扫描高级参数模板。 可根据需要设置与恢复默认扫描参数配置。 模板中心 字典模板 主机扫描和弱口令发现任务中引用的各协议弱口令字典。可自定义弱口令字典。 模板中心 报告模板 根据不同任务类型，设置离线报告导出的内容。 支持设置主机扫描报告、网站扫描报告、数据库扫描报告、基线核查报告、事件内容报告。 支持系统默认模板及自定义报告内容模板。 模板中心 端口列表 系统默认提供的端口列表模板。 报告管理 报告管理 支持对已扫描完成的任务导出离线报告。 支持对已导出报告进行下载。 系统管理 用户管理 支持角色管理及用户管理。 支持新增角色、编辑角色、删除角色。 支持新增用户，并指定用户角色。 系统管理 系统设置 提供系统服务、升级、数据备份等管理功能。 支持在线升级和离线升级。 支持系统SSH服务开启、系统重启、系统关闭、网卡重启操作。 支持设置系统时间。 支持根据需要备份系统数据。 系统管理 配置管理 提供网络配置、安全配置、告警配置、版权配置功能。 支持网卡设置、路由配置、DNS配置、网关配置。 支持密码安全复杂度、登录安全设置、超时设置、磁盘告警设置、多因子认证设置。 支持验证码登录、认证证书登录、用户名密码登录。 系统管理 引擎管理 支持对系统各个引擎状态进行查看与监控。 系统管理 常用工具 支持Ping、Traceroute、Dig、Telnet、SSH、CURL、Nmap命令工具。 系统管理 许可管理 支持查看许可授权内容及更新许可。