本节将为您介绍资源位置及如何申请扩大配额。 资源位置 有些资源可以在所有地区（全球）使用，而有些资源则特定于其所在的区域或可用区。 资源 类型 描述 天翼云帐户 全球性 您可以在所有区域使用同一个天翼云帐户。 资源标识符 区域性 每个资源的标识符（例如，实例ID、云硬盘ID、虚拟私有云ID）都与其区域相关联。 用户自定义的资源名称 区域性 每个资源名称（例如，安全组名称、密钥对名称）都与其区域相关联。尽管可以在多个区域创建名称相同的资源，但它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联，只能与同一区域的实例相关联。 弹性IP 区域性 弹性IP与区域相关联，只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联，只能分配给同一区域的实例。 镜像 区域性 镜像与区域相关联，只能与同一区域的实例相关联。 实例 可用区 实例与可用区相关联，实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联，只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联，只能与同一可用区的实例相关联。

云原生 API 网关是一款面向现代应用架构设计的高性能网关解决方案,集成流量治理、安全防护、服务集成与可观测能力于一体。

数据擦除机制 数据擦除机制是指分布式块存储系统中已删除的数据一定会被完全擦除，不会被其他用户通过任何途径访问，也无法通过其他方式恢复，进而确保数据的完整性。 当删除/退订云硬盘时，存储系统立即销毁元数据，确保无法继续访问数据。同时，该云盘对应的物理存储空间会被回收。物理空间再次被分配前一定是清零过的，在首次写入数据前，所有新建的云盘的读取返回全部是零。 CRC校验 天翼云在数据传输和存储过程中采用循环冗余校验（CRC）技术，对数据进行完整性校验。通过 CRC 校验，可以检测到数据在传输或存储过程中是否发生了错误或损坏，从而确保数据的完整性和一致性。 数据机密性 数据机密性是指数据只能被授权用户访问，防止数据泄露或未经授权的使用。天翼云通过以下几种措施与功能确保数据的机密性。 加密存储 天翼云提供加密云盘功能，用户可以选择对云盘和快照进行加密。加密云盘使用行业标准的 AES256 算法对数据进行加密，确保数据在存储过程中的机密性。即使云盘或快照丢失，加密数据也无法被未经授权的用户读取。从加密云硬盘创建的快照、备份默认加密。 加密镜像 天翼云提供镜像加密功能，可使用KMS对镜像进行加密，避免镜像丢失后数据泄露风险。用户可选择创建加密的系统盘、数据盘，如果云盘是加密云盘，使用该云盘创建的镜像也是加密镜像，或者在对已有的未加密镜像拷贝时选择加密，生成的新镜像为加密镜像。如果私有加密镜像需要共享给其他天翼云账号时，建议优先对加密镜像进行解密复制后，再进行解密镜像共享，避免KMS密钥泄露导致安全风险。

画面设置 如需设置AI云电脑画面，可选择“默认设置”，“清晰优先”，“流畅优先”，“自定义设置”。 系统重装 如需系统重装，偏好设置点击系统重装，选择“系统盘重装至初始状态”，进行系统重装，系统重装会将系统还原至初始状态，系统盘的程序或数据会被清除，如非特殊情况，否则不建议使用。 切换操作系统 AI云电脑（政企版）支持用户在客户端切换操作系统，包含租户下公共镜像、自定义镜像、共享镜像的同系统切换，如Windows系统、统信UOS系统、麒麟V10系统镜像，不支持不同系统之间切换。如果用户只有系统盘，支持切换至整机镜像，但是数据盘不展示。 切换镜像需注意以下几点： （1）切换操作系统将会清除安装在系统盘的程序、数据； （2）数据盘的图片、视频、文档等数据可继续使用； （3）如非AI云电脑故障，一般情况下不建议使用切换操作系统。 设备调试 提示：Mac客户端不支持设备调试 若有无法识别的外设，在在客户端工具栏偏好设置选择“设备调试”，选择当前连接的外设，配置设备类型，选择重定向方式。 若调试完的设备规则仅在当前终端使用，则选择保存在本地使用。 若调试完的设备规则共享他人，需要提交到管理控制台，管理员审核通过后租户下其他桌面也可使用。 优先级关系：设备调试>设备规则>外设重定向，存储设备同时开USB重定向策略和文件重定向策略时，优先走文件重定向策略。

本章节主要介绍用户管理优秀实践。 DWS集群中，常用的用户分别是系统管理员和普通用户。本节简述了系统管理员和普通用户的权限，如何创建以及如何查询用户相关信息。 系统管理员 在启动DWS集群时创建的用户dbadmin是系统管理员，其拥有系统的最高权限，能够执行所有的操作（表空间，表，索引，模式，函数，自定义视图的操作权限及系统表和系统视图的查看权限）。 要创建新的数据库管理员，则以管理员用户身份连接数据库，并使用带SYSADMIN选项的CREATE USER语句或 ALTER USER语句进行设置。 例如： 创建用户Jim为系统管理员。 CREATE USER Jim WITH SYSADMIN password 'password'; 修改用户Tom为系统管理员。（ALTER USER时，要求用户已存在。） ALTER USER Tom SYSADMIN; 普通用户 普通用户由SQL语句CREATE USER创建。不具有对表空间创建，修改，删除，分配权限，访问需要被赋权；仅对自己创建的表/模式/函数/自定义视图有所有权限，仅可以在自己的表上建索引，仅可查看部分系统表和系统视图。 数据库集群包含一个或多个已命名数据库。用户在整个集群范围内是共享的，但是其数据并不共享。 常见用户相关操作如下，此处使用的密码需要用户自定义： 1.创建用户。 CREATE USER Tom PASSWORD 'password'; 2.修改用户密码。 将用户Tom的登录密码由password修改为newpassword。 ALTER USER Tom IDENTIFIED BY 'newpassword' REPLACE 'password'; 3.给用户授权。 −要创建有“创建数据库”权限的用户，需要加CREATEDB关键字。 CREATE USER Tom CREATEDB PASSWORD 'password'; −为用户追加CREATEROLE权限。 ALTER USER Tom CREATEROLE; 4.撤销权限。 REVOKE ALL PRIVILEGES FROM Tom; 5.锁定或解锁用户。 −锁定Tom帐户： ALTER USER Tom ACCOUNT LOCK; −解锁Tom用户： ALTER USER Tom ACCOUNT UNLOCK; 6.删除用户。 DROP USER Tom CASCADE;

云数据库ClickHouse可提供包年/包月的计费方式 说明：本章会介绍云数据库ClickHouse包年包月的收费模式 1、收费方式 （1）预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 （2）计费周期：按月计费，以自然月为计费单位。 2、升级规则 数据库升级时间不满整月的，升级后配置按当月实际发生天数计费。 3、续订规则 续订数据库，续费按原订购模式按月方式进行续费。 4、退订规则 退订云数据库，不满整月的按当月实际发生天数收费费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5、提醒/通知规则 （1）到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 （2）超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。

该任务用于指导软件工程师安装部署teledb公共配置库。 该任务用于指导软件工程师安装部署teledb公共配置库。 前提条件 已初始化环境。 操作步骤 请您参照如下步骤安装teledb公共库。 1. 上传部署包 上传monitor 控制台安装包：teledbtelemonitor . tar到/app 目录下的teledb目录。 2. 解压部署包 执行如下命令解压monitor控制台部署包 plaintext tarzxvfteledbtelemonitor .tar.gzC /app/teledb 3. 手动安装部署依赖（单节点只需初始化部署主机，高可用需要初始化每一台主机） 执行如下命令，进入package/envinit/x86目录。 plaintext cd package/envinit/x86 执行如下命令，解压部署包。 plaintext tar zxvf envInitx86.tar.gz 得到如下目录： plaintext envInit/ envInit/installjdk.sh envInit/jdk/ envInit/jdk/jdk8u201linuxx64.tar.gz envInit/sshpass1.062.el7.x8664.rpm envInit/pv1.4.61.el7.x8664.rpm envInit/lz41.7.53.el7.x8664.rpm envInit/libaio0.3.10913.el7.x8664.rpm 执行如下命令，安装jdk。 plaintext cd envInit/ sh installjdk.sh 出现如下回显信息，表示安装成功。 plaintext install and config java success. 安装成功后，执行如下命令更新环境变量。 plaintext source /etc/profile 执行如下命令安装部署依赖。 plaintext rpm ivh force nodeps nosignature libaio0.3.10913.el7.x8664.rpm rpm ivh force nodeps nosignature lz41.7.53.el7.x8664.rpm rpm ivh force nodeps nosignature pv1.4.61.el7.x8664.rpm rpm ivh force nodeps nosignature sshpass1.062.el7.x8664.rpm （可选）执行如下命令，检查perl是否安装。 plaintext yum install y perl 4. 部署monitor控制台 执行如下命令，进入目录 plaintext cd /app/teledb cd consoledeploy/conf/ Vi tele.ini 参考如下内容，修改tele.ini配置文件 plaintext ;package and directory info [package] ;cputype 填写范围 ,指预置区的芯片类型 x86、arm CPUTYPEx86 PACKAGEMAINDIR/app

本文介绍总览页面内容。 操作步骤 登录科研助手管理控制台， 此处以【专业版】为例，在左侧导航栏单击“总览”。 总览页面分成功能引导 和数据概览。 功能引导 功能引导面向用户提供全流程、场景化的产品使用指引，帮助用户快速上手核心功能、解决操作疑问，降低科研上云的使用门槛。模块内置 AI 助理，提供场景化问题引导 + 自定义提问双模式。 数据概览 数据概览分成资源数据概览、队列概况、开发机运行概况、热门镜像、套餐包使用概况。 资源数据概览帮助用户实时掌握开发机、并行计算、科研服务、科研文件的资源动态。 队列概况展示当前队列的状态、资源使用量及上限等内容。 开发机运行概况指当前待创建、启用中、运行中等开发环境状态对应的开发机数量。 热门镜像展示的是基于用户实际使用行为，点击量与使用率靠前的镜像内容。 套餐包使用概况指当前套餐包GPU、CPU、内存用量情况。

安装Agent会不会对自身的业务稳定性产生影响？ 不会。Agent是纯应用层的，不会给系统装任何的驱动，不会影响系统的稳定性；Agent的带宽和资源占用很小；Agent已经通过各种业务场景长时间运行测试。 网页防篡改（原生版）购买后遇到问题后如何解决？ 天翼云为客户提供7天×24小时客服服务，包括客服的售后热线（4008109889）咨询服务和在线工单服务，解答、处理客户在使用天翼云服务过程中遇到的问题，《专用服务条款》另有约定的，适用《专用服务条款》的约定。 网页防篡改（原生版） 的计费方式是什么？ 网页防篡改（原生版）计费方式为包周期计费，包周期计费是一种预付费模式，即先付费在使用，支持包年/包月。 网页防篡改（原生版） 的计费项是什么？ 网页防篡改（原生版）是服务器安全卫士（原生版）的增值产品，计费项为您订购的防护服务器台数，您选定防护台数和订购时长后，系统可自动计算出您的计费情况。 网页防篡改（原生版）的配额续费条件是什么 ？ 您所需续费的配额，需要为未到期或已到期状态。

本页介绍了如何配置驱动和运行环境。 驱动安装 1. 下载连接文档数据库服务使用的驱动包“mongojavadriver3.10.1.jar”，此安装包提供了访问文档数据库服务实例的API接口。 2. 在项目的pom.xml中添加如下依赖。 org.mongodb mongojavadriver 3.10.1 环境 客户端需配置JDK1.8。JDK是跨平台的，支持Windows，Linux等多种平台 。

CCE通过云硬盘为您提供快照功能，云硬盘快照简称快照，指云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。 您可以创建快照，从而快速保存指定时刻云硬盘的数据。同时，您还可以通过快照创建新的云硬盘，这样云硬盘在初始状态就具有快照中的数据。 使用须知 快照功能仅支持 v1.15 及以上版本的集群，且需要安装基于CSI的Everest插件才可以使用。 基于快照创建的云硬盘，其子类型（普通IO/高IO/超高IO）、磁盘模式（VBD/SCSI）、共享性(非共享/共享)、容量等都要与快照关联母盘保持一致，这些属性查询和设置出来后不能够修改。 使用场景 快照功能可以帮助您实现以下需求： 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 快速恢复数据 更换操作系统、应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云服务器 A的系统盘 A发生故障而无法正常开机时，由于系统盘 A已经故障，因此也无法将快照数据回滚至系统盘A。此时您可以使用系统盘 A已有的快照新创建一块云硬盘 B并挂载至正常运行的云服务器 B上，从而云服务器 B能够通过云硬盘 B读取原系统盘 A的数据。 说明：当前CCE提供的快照能力与K8S社区CSI快照功能一致：只支持基于快照创建新云硬盘，不支持将快照回滚到源云硬盘。 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。 操作概览 1. 您可以创建快照.docx

管理员权限：由ctiam定义，除租户主账户外可定义多个管理员，通过给用户组授权【智算服务平台管理员权限】，可以读写所有工作空间下所有用户所有功能的数据。 工作空间管理员：在工作空间定义，创建者+创建的时候可以把别人添加成管理员角色，可以读写自己工作空间里面的所有用户的数据 算法开发：在工作空间内定义的，只能读写工作空间内自己的数据，无法读写其他账号创建的数据，但是可以读取其他账号分享给自己的基础数据集和标注数据集。 算法运维：在工作空间内定义的。可以管理（包括停止和删除，不允许创建）工作空间内所有用户的任务类数据（包括开发机、训练任务）用于进行实例任务的运维和异常排查，但是不能管理其他用户的资产。 权限点名称 工作空间角色（IAM管理员和工作空间管理员） 工作空间角色（算法开发:+自己创建的数据） 工作空间（算法运维+自己创建的数据） 工作空间角色（算法运维+他人创建数据） 工作空间用户添加 允许 不允许 不允许 不允许 工作空间用户列表 允许 允许 允许 允许 工作空间用户编辑 允许 不允许 不允许 不允许 工作空间用户删除 允许 不允许 不允许 不允许 工作空间配置菜单 允许 不允许 不允许 不允许 工作空间配置按钮 允许 不允许 不允许 不允许 数据集创建 允许 允许 允许 不允许 数据集删除 允许 允许 允许 不允许 数据集查看 允许 允许 允许 不允许 数据集导入 允许 允许 允许 不允许 数据集重命名 允许 允许 允许 不允许 数据集普通加速 允许 允许 允许 不允许 数据集发布 允许 允许 允许 不允许 数据集导出 允许 允许 允许 不允许 数据集下载 允许 允许 允许 不允许 数据集标注 允许 允许 允许 不允许 数据集清洗 允许 允许 允许 不允许 数据集推送到高速缓存 允许 允许 允许 不允许 数据集制作副本 允许 允许 允许 不允许 数据集分享或取消分享 允许 允许 允许 不允许 基础数据集创建 允许 允许 允许 不允许 基础数据集查看 允许 允许 允许 不允许 基础数据集修改可见范围 允许 允许 允许 不允许 基础数据集重命名 允许 允许 允许 不允许 基础数据集修改挂载路径 允许 允许 允许 不允许 基础数据集删除 允许 允许 允许 不允许 基础数据集查看文件 允许 允许 允许 不允许 基础数据集加速到智算存储 允许 允许 允许 不允许 基础数据集备份到普通存储 允许 允许 允许 不允许 我的模型新增模型外壳 允许 允许 允许 不允许 我的模型新增模型版本 允许 允许 允许 不允许 我的模型模型外壳名称去重校验 允许 允许 允许 不允许 我的模型更新模型外壳（编辑名称和描述） 允许 允许 允许 不允许 我的模型模型外壳列表分页查询 允许 允许 允许 不允许 我的模型根据id查询模型外壳单条信息 允许 允许 允许 不允许 我的模型分页查询模型版本 允许 允许 允许 不允许 我的模型分页查询模型详情页 允许 允许 允许 不允许 我的模型获取所有模型外壳的所有版本号 (模型部署用) 允许 允许 允许 不允许 我的模型模型文件上传 允许 允许 允许 不允许 我的模型下载模型文件 允许 允许 允许 不允许 我的模型导出到本地 允许 允许 允许 不允许 我的模型导出到天翼云媒体存储 允许 允许 允许 不允许 我的模型模型外壳删除 允许 允许 允许 不允许 我的模型模型版本删除 允许 允许 允许 不允许 我的模型模型文件删除 允许 允许 允许 不允许 我的模型外壳获取口令 允许 允许 允许 不允许 我的模型获取口令 允许 允许 允许 不允许 我的模型根据口令获取模型名称与id 允许 允许 允许 不允许 我的模型获取可压缩的模型外壳及版本详情 允许 允许 允许 不允许 我的镜像自定义镜像查看 允许 允许 允许 不允许 我的镜像自定义镜像制作镜像 允许 允许 允许 不允许 我的镜像自定义镜像取消制作 允许 允许 允许 不允许 我的镜像自定义镜像分享 允许 允许 允许 不允许 我的镜像自定义镜像取消分享 允许 允许 允许 不允许 我的代码包分页查询 允许 允许 允许 不允许 我的代码包导入代码包 允许 允许 允许 无 我的代码包重新上传 允许 允许 允许 不允许 我的代码包删除 允许 允许 允许 不允许 我的代码包查看 允许 允许 允许 不允许 我的代码包开始训练 允许 允许 允许 不允许 我的代码包在线编码 允许 允许 允许 不允许 我的代码包下载 允许 允许 允许 不允许 训练任务新建 允许 允许 允许 无 训练任务复制 允许 允许 允许 不允许 训练任务启动 允许 允许 允许 允许 训练任务停止 允许 允许 允许 允许 训练任务删除 允许 允许 允许 允许 训练任务分页查询 允许 允许 允许 允许 训练任务查看详情 允许 允许 允许 允许 开发机新建 允许 允许 允许 无 开发机启动 允许 允许 允许 允许 开发机停止 允许 允许 允许 允许 开发机删除 允许 允许 允许 允许 开发机分页查询 允许 允许 允许 允许 开发机查看详情 允许 允许 允许 允许 开发机保存至代码包 允许 允许 允许 不允许 开发机制作镜像 允许 允许 允许 不允许 开发机开始训练 允许 允许 允许 不允许 公共服务事件 允许 允许 允许 允许 公共服务日志 允许 允许 允许 允许 公共服务监控 允许 允许 允许 允许 公共服务保存至模型管理 允许 允许 允许 不允许

步骤2：实现灰度发布 1、为了将部署的Deployment服务暴露给外部访问，我们为其创建一个类型为LoadBalancer的Service。在这个Service的配置中，不会在其selector中指定特定的版本标签，这样做的目的是让Service能够同时选中并暴露两个不同版本Deployment的Pod。通过这种方式，外部流量可以通过这个Service访问到这两个版本的Pod，从而实现了服务的对外暴露和版本共存。YAML示例如下： apiVersion: v1 kind: Service metadata: annotations: service.beta.kubernetes.io/ctyunloadbalancerid: 586c97daa47c467ca615bd25a20de39c ELB实例的ID，请替换为实际取值 name: appservice spec: ports: name: service0 port: 80 protocol: TCP targetPort: 80 selector: selector中不包含version信息 app: myapp type: LoadBalancer 类型为LoadBalancer 2、没有内置的机制来按权重分配流量，因此流量可能会随机分配到这两个版本的Pod上。要验证这一点，你可以多次访问Service并观察响应是否来自不同的版本。访问若干次，结果一半为v1的响应，一半为v2的响应。 3、通过控制台或kubectl方式调整Deployment的副本数，将v1版本调至4个副本，v2版本调至1个副本。 kubectl scale deployment/appv1 replicas4 kubectl scale deployment/appv2 replicas1 4、再次访问若干次，结果中v1与v2版本的响应比例与其副本数比例一致，为4:1。通过控制不同版本服务的副本数就实现了灰度发布。

本文主要介绍如何添加监听器。 操作场景 负载均衡监听器通过指定的协议和端口进行流量转发。同时监听器将根据健康检查的配置自动检查其后端主机的运行状况。如果发现某台主机运行不正常，则会停止向该主机发送流量，并重新将流量发送至正常运行的主机。 创建监听器 1. 选择“服务列表 > 网络 > 弹性负载均衡”。 2. 在“负载均衡器”界面，单击需要添加监听器的负载均衡名称“elb01”。 3. 切换到“监听器”页签，单击“添加监听器”。 4. 配置监听器，单击“下一步”。 名称：监听器名称，示例为“listenerHTTP”。 前端协议/端口：负载分发的协议和端口，示例为“HTTP/80”。 5. 配置后端主机组和开启健康检查，单击“完成”。 创建后端主机组 1. 名称：后端主机组名称，示例为“servergroupELB”。 2. 分配策略类型：负载均衡采用的算法，示例为“加权轮询算法”。 修改健康检查配置 1. 协议：前端协议为TCP、HTTP或者HTTPS时，健康检查支持TCP和HTTP协议，设置后不可修改，示例为“HTTP”。 2. 域名：健康检查的请求域名。示例为“www.example.com”。 3. 端口：健康检查端口号，示例为“80”。 4. 未配置健康检查端口时，默认使用后端主机端口进行健康检查。配置后，使用配置的健康检查端口进行健康检查。 5. 在新添加的监听器下，单击后端主机组页签的“添加”。 6. 勾选需要添加的主机，设置业务端口，单击“完成”。 主机勾选“ECS01”和“ECS02”。 业务端口：业务所使用的端口，示例为“80”。

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳，时间戳(秒) endtime int 否 结束时间戳，时间戳(秒) interval string 否 时间粒度 reqsummarydatainterval list< object> 否 每个时间间隔的带宽数据 reqsummarydatainterval[].timestamp int 否 时间片开始时间戳 reqsummarydatainterval[].province int 否 省编码 reqsummarydatainterval[].isp string 否 运营商编码 reqsummarydatainterval[].networklayerprotocol string 否 网络层协议：ipv4、ipv6，other reqsummarydatainterval[].applicationlayerprotocol string 否 应用层协议：http，https，quic，other reqsummarydatainterval[].abroad int 否 区域，国内(0)，国外(1) reqsummarydatainterval[].requestnum int 否 请求数 reqsummarydatainterval[].hitrequestrate float 否 请求命中率 reqsummarydatainterval[].qps float 否 QPS，单位：次/每秒 reqsummarydatainterval[].hitflowrate float 否 流量命中率 reqsummarydatainterval[].flow long 否 流量，单位Byte reqsummarydatainterval[].hitflow long 否 命中流量，单位Byte reqsummarydatainterval[].bandwidth float 否 带宽，单位bit/s（bps）

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽，进而在DDoS 高防（边缘云版）产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务，如果客户的业务存在潜在的被恶意访问风险，需要抗DDoS和抗CC攻击的安全防护功能，建议开通DDoS高防（边缘云版），详情请见：DDoS高防（边缘云版）；如果客户的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御，建议叠加Web应用防火墙（边缘云版）进行联合防御。详情请见：叠加Web应用防火墙（边缘云版）。

本文介绍如何将网站域名接入Web应用防火墙（边缘云版），保障您网站的安全性和可用性。 步骤1：网站业务梳理 在将网站接入Web应用防火墙（边缘云版，简称WAF）前，建议您先梳理网站的业务信息以及历史受攻击的情况，便于使用WAF制定合适的防护策略。 梳理网站的基础信息 梳理网站的基础信息，有利于您在域名接入WAF时，填写正确的域名配置。 网站支持哪些访问协议，如果需要支持HTTPS，那需要提前准备对应的HTTPS证书。 网站有使用了哪些业务端口，判断WAF是否能支持该网站的所有业务端口。 源站的IP有哪些，源站是否有iptables之类的访问限制，如果有需要加白WAF防护集群的回源IP。 梳理网站的业务情况 了解自身网站业务有利于WAF防护策略的配置，也有助于在订购WAF套餐时能选择合适的套餐规格属性。 网站当前的业务流量情况，包括流量峰值的Mbps、QPS情况。 网站访问者的主要来源，访问者的客户端环境有哪些，是否有APP客户端。 网站有多少用户活跃度，主要的用户群体有哪些，有助于分析访问行为特征并制定防护策略。 梳理网站的历史访问与攻击情况 单用户的访问频率一般有多少，有助于后续制定合适的频率控制策略。 是否遭受过大流量网络层攻击，判断是否需要开通DDoS服务以及开通多少防护规格。 是否遭受过大量高频的CC攻击，有助于提前配置对应的CC防护策略。

本节主要介绍基本概念 API API（Application Programming Interface，应用程序编程接口）是一些预先定义的函数，应用将自身的服务能力封装成API，并通过API网关开放给用户调用。 API包括基本信息、前后端的请求路径和参数以及请求相关协议。 API分组 API分组是同一种业务API的集合，API开发者以API分组为单位，管理分组内的所有API。 环境 为了方便管理API的生命周期，API网关定义了API受限使用范围，这个受限使用的范围，称为环境，例如API的测试环境，开发环境等。 环境定义了API生命周期管理过程中的不同状态，API可以被发布到不同的自定义环境中。 调用不同环境的API，一般通过在API调用的请求头增加指定的头部参数，头部参数名固定为xstage，它的取值叫环境名，用以区分不同的环境。 环境变量 在环境上创建可管理的一种变量，该变量固定在环境上。通过创建环境变量，实现同一个API，在不同环境中调用不同的后端服务。 流量控制 流量控制支持从用户、应用、源IP和时间段等不同的维度限制对API的调用次数，保护后端服务。 API网关支持按分/按秒粒度级别的流量控制。 访问控制 访问控制策略是API网关提供的API安全防护组件之一，主要用来控制访问API的IP地址和帐户，您可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。

数据库安全审计发生异常，多长时间用户可以收到告警通知？ 在数据库安全审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 当您设置告警通知后，在数据库安全审计正常运行的情况下，当数据库安全审计实例资源（CPU、内存和磁盘）超过设置的告警阈值时，系统产生告警通知。用户约在5分钟内可以收到告警通知。 每天发送告警总条数与每天收到的邮件数是相同的吗？ 是的。一条告警信息对应一个通知邮件。 为什么不能在线预览数据库安全审计报表？ 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 在业务侧使用中间件会影响数据库安全审计功能吗？ 不会影响使用数据库安全审计。中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。 DBSS服务能否对第三方工具执行的SQL语句进行捕捉？ 可以。DBSS服务审计的数据是Agent接入的全量日志和流量数据，与工具无关。

规格 （GB） 实例可使用内存 （GB） 连接数上限 （默认/可配）（个） 基准/最大带宽 （Mbit/s） 参考性能 （QPS） 64 64 90,000/90,000 600/5,120 500,000 128 128 180,000/180,000 600/5,120 500,000 256 256 240,000/240,000 600/5,120 500,000 512 512 480,000/480,000 600/5,120 500,000 1024 1024 960,000/960,000 600/5,120 500,000

首次安装（Windows环境） 非本区域的服务器安装ICAgent，请先在弹性云主机控制台购买一台Linux操作系统的弹性云主机作为跳板机，具体操作请参考购买ELB和多主机作为跳板机，然后执行如下操作： 说明 推荐CentOS 6.5 64bit及其以上版本的镜像， 最低规格为1vCPUs 1GB，推荐规格为2vCPUs 4GB。 1. 单击右上角“安装ICAgent”。 2. 主机类型选择“区域外主机”。 3. “安装系统”选择“Windows”。 4. “网络连通性方式”为“专线”。专线连通场景下，默认其它IDC上的机器与LTS后端网络不通，需要配置网络打通方案，建议您选择VPCEP。 说明 专线：区域外主机与当前区域LTS通过跳板机或VPCEP专线连通，安全性和稳定性都更高。在专线连通场景下，默认区域外主机与当前区域LTS网络不通，安装在区域外主机上的ICAgent无法直接访问当前区域LTS上报日志的网段。因此需要配置网络打通方案，使用跳板机或VPCEP的方式去连通LTS后端将数据转发到LTS。 跳板机：跳板机作为数据转发器，将区域外主机ICAgent采集到的数据转发给LTS。当您在进行测试，或者日志流量并不大的情况下，可以使用跳板机的方案。对于大流量日志场景推荐您使用VPCEP。 VPCEP：即VPC终端节点，能够将VPC私密地连接到当前区域LTS，使VPC中的资源无需弹性公网IP就能够访问终端节点服务。这种方式能够减少数据在公网上传输的风险，提高数据传输的安全性和效率。 5. 选择“连通LTS后端方式”为VPCEP时，填写VPCEP域名，填写完成后，直接从步骤7开始执行。 请您在网络同事的协助下，在他云上配置VPCEP的DNS域名解析规则，将VPCEP的域名解析到指定IP。 配置完成后，选择一台要采集日志的主机，输入界面上的测试命令，如果能ping通，表示网络配置OK。 6. 选择“连通LTS后端方式”为跳板机时，需要设置该步骤。在跳板机上开通转发端口。 1）在当前region区申请一台ECS主机当跳板机。 2）添加跳板机ECS使用的安全组规则，开放入方向对应端口，保证区域外主机到跳板机数据连通。在弹性云服务器控制台，单击ECS主机名称进入详情页，选择安全组页签，进入安全组列表页。单击具体的安全组名，进入安全组详情页。在该安全组详情页，单击“入方向规则 > 添加规则”，按下表添加安全组规则。 方向 协议 端口 说明 入方向 TCP 8149、8102、8923、30200、30201、80 ICAgent发送数据到跳板机的端口列表。 3）输入跳板机私有IP，生成跳板机转发命令。 说明 跳板机私有IP是指VPC内网IP。 4）单击“复制命令”，复制跳板机转发命令。 5）以root用户登录跳板机，执行SSH Tunnel转发命令。根据命令提示输入root用户名密码即可。 plaintext ssh f N L {跳板机ip}:8149:{elbip}:8149 L {跳板机ip}:8102:{elbip}:8102 L {跳板机ip}:8923:{elbip}:8923 L {跳板机ip}:30200:{elbip}:30200 L {跳板机ip}:30201:{elbip}:30201 L {跳板机ip}:80:icagent{region}.{obsdomain}:80 {跳板机ip} 6）执行netstat lnp grep ssh命令查看对应端口是否被侦听，如果返回结果如下图所示，说明TCP端口已开通。 说明 如果跳板机ECS掉电重启，请重新执行如上命令。 7. 通过界面提示链接，下载ICAgent安装包到本地。 8. 将ICAgent安装包存放到Windows主机目录（如：C:ICAgent）并解压。 9. 获取AK/SK。 10. 生成安装命令，并复制该命令。在文本框输入跳板机连接IP，手动替换AK/SK，生成安装命令。 说明 跳板机连接IP：使用EIP方式连接，为跳板机弹性公网IP，使用云专线VPC对等连接方式，为跳板机VPC内网IP。 单击“复制命令”，复制ICAgent安装命令。 11. 打开cmd窗口并进入ICAgent安装包的解压目录，执行ICAgent安装命令进行安装。 说明 当显示“Service icagent installed successfully”时，表示安装成功。安装成功后，在左侧导航栏中选择“主机管理 > 主机”，查看ICAgent状态。 如果安装失败，请卸载ICAgent后重新安装，如果还未安装成功，请联系技术支持。

接口功能介绍 本接口用于查询直播下行在线带宽流量数据（1分钟粒度数据）。 接口详情 请求方式：post 请求路径：/live/statistics/queryhistorybasicdata 使用说明 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 数据延迟时间为5min； 该接口仅支持查询FLV和RTMP流的在线人数 请求参数 参数 是否必填 参数类型 说明 domain 是 list 域名列表 appname 否 list 发布点列表；不传默认所有发布点 streamname 否 list 流名列表；不传默认所有流名 time 否 int 时间，单位秒，不传默认当前时间3m 响应参数 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 time string 否 查询时间点 totalNum int 否 总数量 result list 否 返回结果列表 result[].Domain string 否 域名 result[].App string 否 发布点 result[].Stream string 否 流名 result[].Online long 否 在线人数 result[].Flux double 否 流量，单位:MB（按1000进制转换） result[].BandWidth double 否 带宽，单位:Mbps（按1000进制转换）

采用官方提供的CloudInit源码包通过pip方式安装CloudInit工具 以cloudinit0.7.9版本为例，CloudInit工具的安装步骤如下。 1.下载cloudinit0.7.9.tar.gz源码包（推荐优先选用0.7.9版本），上传到云主机指定目录“/home/”下。 cloudinit0.7.9.tar.gz源码包下载地址： 2.在“~/.pip/”目录下新建pip.conf文件，编辑内容如下。 说明： “~/.pip/”若不存在，可使用命令mkdir ~/.pip命令新建。 [global] indexurl trustedhost 说明： 编辑内容中 部分可以选择公网PyPI源或教育网PyPI源进行替换。 公网PyPI源： 教育网PyPI源： 3.执行以下命令，安装本地下载的CloudInit源码包，安装过程中根据需要选择upgrade参数。 pip install [upgrade] /home/cloudinit0.7.9.tar.gz 4.执行命令cloudinit v，如回显如下类似信息表示安装CloudInit成功。 cloudinit 0.7.9 5.设置CloudInit相关服务为开机自启动。 −若操作系统是sysvinit自启动管理服务，则执行以下命令进行设置。 chkconfig add cloudinitlocal; chkconfig add cloudinit; chkconfig add cloudconfig; chkconfig add cloudfinal chkconfig cloudinitlocal on; chkconfig cloudinit on; chkconfig cloudconfig on; chkconfig cloudfinal on service cloudinitlocal status; service cloudinit status; service cloudconfig status; service cloudfinal status −若操作系统是systemd自启动管理服务，则执行以下命令进行设置。 systemctl enable cloudinitlocal.service cloudinit.service cloudconfig.service cloudfinal.service systemctl status cloudinitlocal.service cloudinit.service cloudconfig.service cloudfinal.service 注意： 采用官方提供的CloudInit源码包通过pip方式进行安装时要注意以下两点。 1.CloudInit安装时需要添加syslog用户到adm组。存在syslog用户时直接添加syslog用户到adm组。不存在syslog用户时（如CentOS和SUSE），执行下列命令创建syslog用户，添加到adm组： useradd syslog groupadd adm usermod g adm syslog 2.在“/etc/cloud/cloud.cfg”中systeminfo部分的distro要根据具体操作系统发行版本做相应修改（如根据具体操作系统发行版相应修改为：distro: ubuntu，distro: sles，distro: debian，distro: fedora）。

参数 说明 带宽 设置公网访问的带宽。 取值范围：1100。 单位：Mbit/s。 访问控制开关 如果关闭访问控制开关，则允许任何IP通过公网IP访问集群Kibana。如果开启访问控制开关，则只允许白名单列表中的IP通过公网IP访问集群Kibana。 白名单 设置允许访问的IP地址或网段，中间用英文逗号隔开。 建议开启白名单。

本节主要介绍安全组的组成、产品优势、应用场景和使用限制。 安全组概述 安全组用于虚拟机的出入流量的访问控制，其由一系列的安全组规则组成，是云上网络安全防护的主要方式。安全组通过设置的规则实现具体的访问控制，当虚拟机实例或者网卡加入到对应安全组后，即受到这些规则的保护。安全组具备有状态的特性，即数据包在入方向是被允许的，则对应此连接在出方向也自动被允许，反之亦然。 根据业务的访问控制需求，可以创建自定义安全组，也可以在默认安全组中添加或者删除安全组规则来调整安全访问策略。 每个虚拟机实例或者网卡至少加入一个安全组，可以同时加入多个安全组。 默认安全组 系统默认为用户创建的安全组，不同安全组规则不同，具体规则可进入安全组详情页查看。 安全组规则 安全组规则由源/目的IP、协议、端口、策略（允许或者拒绝）和优先级组成，其包括入方向和出方向的规则。 应用场景 根据业务的安全访问控制需求，为不同的应用使用不同的安全组，确保应用之间的安全隔离。 针对公网和混合云方向做安全隔离，使对应的虚拟机只对外暴露相关的服务协议和端口，防止额外的端口暴露，确保应用安全。 产品优势 灵活配置：安全组可基于业务需求实时调整对应的安全规则。 访问隔离：通过不同的安全组设置，实现了不同虚拟机之间的访问控制隔离。

方案效果 可降低源站99%以上应用更新类业务产生的下行流量，客户端可就近接入服务节点获取最新应用数据包，用户下载体验升级，相关投诉和用户流失问题显著下降。 业务正常状态码分布占99.5%以上，应用更新中断、更新失败、更新异常等现象不再频发，应用更新的可用性提高，用户黏性增加。 提供完善全面的业务分布统计分析数据，助力客户对客户端的地域分布、运营商分布、业务活跃度等信息了如指掌，为客户提供业务决策依据和数据保障。

模块 说明 今日数据统计 展示实时上/下行带宽、今日上/下行带宽峰值、在线设备数/设备总数信息。 设备接入统计 展示近7天或近30天的新增设备数及设备总数趋势图。 带宽使用统计 展示近7天或近30天的上/下行带宽峰值趋势图。 AI分析路数 展示当前绑定了AI应用的分析路数，以算法类型为维度进行统计。 今日AI告警 实时告警展示最新的AI告警图片，告警统计展示今日AI告警次数的统计图。 资源包 展示用户已购买的资源包数量。

项目 描述 总/读/写 总带宽/读带宽/写带宽上限。带宽的单位可以选择B/s、KiB/s、MiB/s、GiB/s、TiB/s， 取值：整数形式，默认不设置，表示不限制。 如果单位是B/s，取值为[0, 4096000000000]。 如果单位是KiB/s，取值为[0, 4000000000]。 如果单位是MiB/s，取值为[0, 3906250]。 如果单位是GiB/s，取值为[0, 3814]。 如果单位是TiB/s，取值为[0, 3]。 突发带宽/时长 总/时长 使用Burst功能时，总带宽上限/所能持续的时间。带宽的单位可以选择B/s、KiB/s、MiB/s、GiB/s、TiB/s，所能持续的时间单位可以选择秒、分、时。 使用Burst功能时，总带宽上限：只有当总带宽大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，此项不设置或设置(总带宽 4096000000000]内的正整数。 如果单位是KiB/s，此项不设置或设置(总带宽, 4000000000]内的正整数。 如果单位是MiB/s，此项不设置或设置(总带宽, 3906250]内的正整数。 如果单位是GiB/s，此项不设置或设置(总带宽, 3814]内的正整数。 如果单位是TiB/s，此项不设置或设置(总带宽, 3]内的正整数。 使用Burst功能时，所能持续的时间：只有在突发总带宽功能启用时，此配置才生效。取值：整数形式。 单位如果是秒，取值为[1, 999999999]。 单位如果是分，取值为[1, 16666666]。 如果单位是时，取值为[1, 277777]。 突发带宽/时长 读/时长 使用Burst功能时，读带宽/上限所能持续时间。带宽的单位可以选择B/s、KiB/s、MiB/s、GiB/s、TiB/s，所能持续的时间单位可以选择秒、分、时。 使用Burst功能时，读带宽上限：只有当读带宽大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，此项不设置或设置(读带宽 4096000000000]内的正整数。 如果单位是KiB/s，此项不设置或设置(读带宽, 4000000000]内的正整数。 如果单位是MiB/s，此项不设置或设置(读带宽, 3906250]内的正整数。 如果单位是GiB/s，此项不设置或设置(读带宽, 3814]内的正整数。 如果单位是TiB/s，此项不设置或设置(读带宽, 3]内的正整数。 使用Burst功能时，所能持续的时间：只有在突发读带宽功能启用时，此配置才生效。取值：整数形式。 单位如果是秒，取值为[1, 999999999]。 单位如果是分，取值为[1, 16666666]。 如果单位是时，取值为[1, 277777]。 突发带宽/时长 写/时长 使用Burst功能时，写带宽上限/所能持续的时间。带宽的单位可以选择B/s、KiB/s、MiB/s、GiB/s、TiB/s，所能持续的时间单位可以选择秒、分、时。 使用Burst功能时，写带宽上限：只有当写带宽大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，此项不设置或设置(写带宽 4096000000000]内的正整数。 如果单位是KiB/s，此项不设置或设置(写带宽, 4000000000]内的正整数。 如果单位是MiB/s，此项不设置或设置(写带宽, 3906250]内的正整数。 如果单位是GiB/s，此项不设置或设置(写带宽, 3814]内的正整数。 如果单位是TiB/s，此项不设置或设置(写带宽, 3]内的正整数。 使用Burst功能时，所能持续的时间：只有在突发写带宽功能启用时，此配置才生效。取值：整数形式。 单位如果是秒，取值为[1, 999999999]。 单位如果是分，取值为[1, 16666666]。 如果单位是时，取值为[1, 277777]。

统计模块 说明 攻击事件数 展示DDoS网络层攻击事件数，单位：次 DDoS防护峰值 展示攻击带宽峰值，单位：kbps DDoS攻击峰值时间 展示DDoS防护峰值对应的时间 攻击趋势 展示总攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood及Other的攻击趋势，并支持拖动时间轴调整分析事件范围 攻击类型分布 展示攻击类型的占比 TOP攻击源IP 根据攻击峰值大小对攻击源IP进行排序，展示攻击源IP、IP归属地、运营商、攻击峰值字段信息；该功能默认关闭，可提交工单进行开启 全国攻击分布 展示TOP攻击源IP的城市分布以及攻击来源地区的排行；该功能默认关闭，可 攻击流量峰值趋势（非中国大陆区域） 若订购DDoS防护IP服务，那么在非中国大陆区域，将为用户提供全球广播独享的高防IP进行防护并展示DDoS攻击流量趋势。

本文将帮助您熟悉IPv4网关如何更换路由表。 操作场景 创建IPv4网关后，云资源（云主机、物理机等）默认可以进行公网访问；如果您需要管理从公网进入IPv4网关的流量，需要关联网关型路由表进行流量规划。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云和IPv4网关的创建。 IPv4网关已绑定路由表。 操作步骤 1. 进入“网络控制台”页面，点击“IPv4网关”选项。 2. 找到需要更换路由表的IPv4网关，点击该网关的名称，进入IPv4网关详情页。 3. 点击“更换路由表”，在更换路由表页面，选择需要更换的路由表。 4. 点击“确认”即可完成路由表的更换。

本文将帮助您熟悉IPv4网关如何绑定路由表。 操作场景 创建IPv4网关后，云资源（云主机、物理机等）默认可以进行公网访问；如果您需要管理从公网进入IPv4网关的流量，需要关联网关型路由表进行流量规划。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云和IPv4网关的创建。 操作步骤 1. 进入“网络控制台”页面，点击“IPv4网关”选项。 2. 找到需要绑定路由表的IPv4网关，点击该网关的名称，进入IPv4网关详情页。 3. 点击“绑定路由表”，在绑定路由表页面，选择网关类型的路由表。 4. 点击“确定”按钮，即可完成路由表的绑定。

本章节主要向您介绍如何将路由表关联至子网。 操作场景 子网创建完成后，系统会将子网关联至VPC默认路由表。如果您需要为子网使用特定路由，则可以将子网关联至自定义路由表。 如果将子网关联至自定义路由表，那么自定义路由表仅影响子网的出流量走向，入流量仍然匹配默认路由表。 注意 路由表和子网关联后，该路由表的路由规则将对该子网生效，子网下的云资源将启用新的路由规则，请确认对业务造成的影响，谨慎操作。 约束与限制 子网必须关联路由表，一个子网只能关联一个路由表。 一个路由表可以同时关联多个子网。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。进入虚拟有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 路由表”，进入路由表列表页面。 4. 在路由表列表中，单击操作列的“关联子网”。 5. 选择需要关联的子网。 6. 单击“确定”，完成关联。