参数 参数类型 说明 示例 下级对象 protectionIpNumMax Integer 可防护ip最大数 1 flowProcessingCapacityMax Integer 最大公网流量处理能力 1 vpcQuotaMax Integer VPC边界防火墙最大数量 1 vpcFlowProcessingCapacityMax Integer 最大VPC流量处理能力 1

本文介绍简述缓存规则设置方法。 功能介绍 缓存规则指源站资源在边缘云节点缓存的时长，达到预设时间，资源将会被边缘云节点标记为缓存过期。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务智能负载均衡，支持配置缓存规则，具体请见智能负载均衡。 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【接入配置】，单击【新增】按钮。 配置项说明： 配置项 说明 类型 选择需要配置的文件类型，并且配置相应的内容。 后缀名：指文件后缀名，例如内容输入为.mp4，.flv，表示后缀为.mp4或.flv的文件。 目录：指具体目录，例如值为：/a，表示目录前缀为/a的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 过期时间 选择配置内容的过期时间单位，如秒、分钟、小时、天。再填写对应的过期时间。 缓存规则 设置配置内容的缓存规则，默认为强制缓存。 去问号缓存 默认为开启，如需要带问号后参数缓存，请选择关闭该功能。 优先级 支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。

参数 参数类型 说明 示例 下级对象 firewallEdtion String 防火墙版本Advanced 高级版 protectionIpNum Integer 防护公网ip配额 flowProcessingCapacity Integer 互联网边界带宽规格 vpcQuota Integer 配额数量 vpcFlowProcessingCapacity Integer VPC边界带宽规格 expireTime Long 到期时间

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙ID a6449feab4db11e9a6b40242ac110007 regionId 是 String 资源池ID ruleId 是 Long 规则ID 321 status 是 String 规则开关；disable；enable； disable uid 是 String 租户ID 6ee4c9fa71c3403eab8af44e29c3e4c1

本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

本文介绍同时使用了全站加速和Web应用防火墙（边缘云版），如何计费；以及同时使用了全站加速和媒体存储【即对象存储（融合版）】，如何计费。 天翼云全站加速和天翼云其他产品搭配使用时，产生的流量各自分别计费，不支持互相抵扣，也不会重复计费，每个产品的计费和扣款规则详见各产品的计费说明。 以下举两个常见的产品搭配案例。 客户同时购买了全站加速按量计费和Web应用防火墙（边缘云版）。业务数据流向：客户端全站加速Web应用防火墙源站。 全站响应给客户端资源，从全站流出的带宽，由全站加速收取带宽费用，全站加速的相关计费项说明，详情请见：全站加速计费。 用户访问回源的动态请求均需要防护，因此这部分动态请求产生的回源带宽由Web应用防火墙（边缘云版）收取费用，详情请见：计费概述。 客户同时购买了全站加速按量计费和媒体存储【即对象存储（融合版）】。假设全站节点上无可用的缓存资源，需要从媒体存储【即对象存储（融合版）】上获取资源，则总计会产生两段流量费用： 全站从媒体存储【即对象存储（融合版）】获取资源，数据从媒体存储【即对象存储（融合版）】传输到天翼云全站所产生的回源流量，由媒体存储【即对象存储（融合版）】收取流量费用，全站加速不收费。媒体存储【即对象存储（融合版）】的相关计费项说明，详情请见：计费项。 全站响应给客户端资源，从全站流出的流量，由全站加速收取流量费用，媒体存储【即对象存储（融合版）】不收费。全站加速的相关计费项说明，详情请见：全站加速计费。 注意 天翼云的媒体存储【即对象存储（融合版）】仅支持中国内地区域使用，全站加速可从任何区域回源到中国内地区域的媒体存储【即对象存储（融合版）】源站，且回源产生费用。

介绍HBlock部署环境的配置操作。 按照环境要求，准备3台或3台以上的服务器。 注意 确保ping命令和ps命令可用。Debian/Ubuntu可以使用下列命令安装ping命令和ps命令。 plaintext aptget update /获取最新安装包 aptget install iputilsping / 安装ping命令 aptget install procps / 安装ps命令安装 每台服务器按照下列操作步骤完成配置，以下操作以CentOS 7.x版本为例： 说明 如果已经安装操作系统，请忽略步骤1。如果磁盘已挂载，请忽略步骤2，可以使用挂载路径作为HBlock的数据目录，或者使用命令mkdir DIRECTORY在挂载路径下创建一个目录，将此目录作为HBlock数据目录。 1. 安装操作系统CentOS 7.x版本 2. 格式化硬盘并挂载 请参考下列示例将服务器上的硬盘进行格式化，方便后续部署使用。 plaintext lsblk 查看硬盘 mkfs.ext4 /dev/vdX 将硬盘格式化为 ext4,如果已经格式化磁盘，请忽略此步骤。 mkdir DIRECTORY 创建挂载路径，DIRECTORY为路径名 mount /dev/vdX DIRECTORY 挂载硬盘，挂载后，可以使用该路径作为HBlock数据目录 说明 mount命令为临时挂载命令，服务器重启后，需要再次挂载。对于HBlock使用到的目录，建议设置开机自动挂载，或使用已设置自动挂载的目录或子目录。 注意 如果安装HBlock的用户为非root用户，需要对HBlock使用到的目录有读写权限，可以使用下列命令。 plaintext chown HBlock用户:HBlock用户所属组 DIRECTORY 3. 关闭SELinux和swap分区（建议） 4. 防火墙设定 确保集群服务器之间可以相互访问，集群服务器之间相互添加白名单，另外请开启iSCSI端口，以便客户端连接到服务器的target。如果是在云主机上安装，安全组中也需要添加白名单。 若您的服务器未开启防火墙，可以忽略此步骤。 如果防火墙是firewall，示例如下： 1. 开启iSCSI端口，如iSCSI端口为3260时： plaintext firewallcmd permanent addport3260/tcp 2. 集群各服务器的IP添加白名单： 添加IPv4地址 plaintext firewallcmd permanent addrichrule"rule familyipv4 source addressyourIP accept" // yourIP is IP address allowed to access 添加IPv6地址 plaintext firewallcmd permanent addrichrule"rule familyipv6 source addressyourIP accept" // yourIP is IP address allowed to access 3. 重新加载防火墙使配置生效： plaintext firewallcmd reload 如果防火墙是iptables，示例如下： 1. 开启iSCSI端口，如iSCSI端口为3260时： plaintext iptables I INPUT p tcp dport 3260 j ACCEPT 2. 集群各服务器间相互访问： 允许本地环路地址 plaintext iptables I INPUT i lo j ACCEPT 允许内部网段访问 plaintext iptables I INPUT s yourIP j ACCEPT 3. 保存配置： plaintext iptablessave 5. 设置资源限制 修改配置文件/etc/security/limits.conf，在配置文件中增加下列内容，设置在domain中打开的最大文件数、同时运行的最大进程数 plaintext domain soft nofile 65536

参数 是否必填 参数类型 说明 示例 下级对象 firewallType 是 String 防火墙类型NorthSouth南北向EastWest东西向 NorthSouth type 是 String 时间day1最近一天 day7最近7天 day1 beginTime 是 Long 开始时间 1729699200 endTime 是 Long 结束时间 1729824916

购买Web应用防火墙实例成功后，需要进行实例配置，添加防护域名实例，本小节介绍域名实例管理。 防护配置管理为用户提供域名防护的配置操作功能，包括添加防护域名实例，以及防护配置管理等操作。 添加防护域名实例 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入防护配置页面。 3. 在Web应用防火墙配置菜单下，点击“新增”，弹出新增WAF防护配置对话框。 4. 配置防护参数。 参数名称 参数说明 实例ID 选择实例 ID；实例即为默认开通资源，直接进行勾选即可。 数据中心 选择数据中心；目前默认数据中心为内蒙，上海，广州，其中主选一个，备选一个，建议用户选择靠近自身资源部署地区的节点。 防护域名 输入防护域名。 输入格式示例： 防护网站域名：如ctyun.cn。 防护网站域名：如www.ctyun.cn。 IP代理 选择IP代理。 IP代理分为NAT44，NAT66，NAT64。 如果网站仅支持IPv4访问：则单选NAT44，并且填写域名对应的公网IPv4地址至源站IP一栏。 如果网站同时支持IPv4以及IPv6访问：则需要同时勾选NAT44与NAT66。 在网站不支持IPv6的场景下，WAF可以协助网站支持IPv6访问，WAF接收到IPv6请求后将流量转换成IPv4的形式发送给客户源站，需要同时勾选NAT44与NAT64，源站IP侧应填写IPv4地址。 源站IP 填写网站的公网IP地址。 协议类型 支持HTTP和HTTPS协议。选择HTTPS协议，还需要上传证书。 协议端口 根据选择的协议，添加对应的端口。 HTTP和HTTPS合在一起最多填入10个端口，多个端口之间用英文逗号（;）分隔。 防护等级 支持高、中、低级别。 Https证书 协议类型选择“https”时，需要上传证书。 上传证书步骤如下： 点击“Https证书”右侧的“新增证书”，在弹出的“新增证书”对话框中配置如下参数，然后点击“确定”，完成证书上传。 证书名称：证书名称可自定义添加。 证书公钥：一般情况下HTTPS证书需要从网站本身服务器上进行导出或联系域名服务商获取，公钥一般以pem或crt结尾，用文本形式打开后全量粘贴即可。 证书私钥：私钥一般以key结尾，用文本形式打开后粘贴即可。 开启防护 默认开启防护，如果开启防护按钮为“关闭”，该防护配置不会生效，业务不会下发至Web应用防火墙设备进行防护。 5. 点击“确定”，正式下发防护配置。 6. 添加完成后，显示应为下图。

本章节介绍如何通过云原生网关访问bookinfo应用 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云应用服务网格实例。 3. 开通天翼云微服务引擎，并在应用服务网格控制面集群同VPC内创建云原生网关实例。产品入口：微服务引擎MSE。 操作步骤 我们在当前云容器引擎实例同VPC下预先开了一个云原生网关实例；通过云原生网关，我们可以从外部访问到云容器引擎内的服务，具体操作如下说明。 1. 首先通过云原生网关实例内服务来源>创建来源，将当前云容器引擎集群添加为服务来源。 2. 然后通过服务列表>创建服务，将sample命名空间下的bookinfo应用入口服务productpage添加为云原生网关的服务。 3. 在路由配置内，通过配置网关路由规则，将bookinfo的访问流量路由到productpage服务，需要添加路由匹配如下路径： /logout /login /api/v1/products/ /static/ /productpage 请求转发到productpage服务。 4. 通过网绑定的ELB地址可以访问到bookinfo应用的首页（

本章节主要围绕云原生网关为入口,介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以云原生网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版 需开通云原生网关实例 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 配置云原生网关转发规则 在左侧导航栏，资源管理 > 云原生网关。查看已导入云原生网关列表，点击资源ID跳转到云原生网关界面配置规则。不存在云原生网关实例需先订购，然后点击导入按钮，进行导入。 1. 配置服务来源 进入左侧服务来源导航栏。点击创建服务按钮，来源类型选择MSE Nacos，集群名称选择provider 和 consumer 应用注册到nacos集群。 2. 配置服务列表 进入左侧服务列表导航栏。点击创建服务按钮，服务来源选择MSE Nacos，命名空间选择provider 和 consumer注册到nacos的命名空间。勾选上msap.nacos.provider和msap.nacos.consumer。 3. 创建路由配置 进入左侧导航栏。点击创建路由，匹配路径填写/nacos/consumer/,目标服务选择标签路由，目标服务选择msap.nacos.consumer，版本选择base，权重 100。

本小节介绍云下一代防火墙设置接口IP地址和安全域配置以及开启防护操作方法。 设置接口IP地址和安全域配置 登录云下一代防火墙web界面，打开【网络→安全域】，查看安全域下接口数量和开启的防护模块。 开启安全域的功能策略模板 网络接口附属在安全域，同步调用安全域防护策略，需启用安全域中的威胁防护和对应的防护侧。 开启全局网络参数为入侵防御 全局网络参数的防护模式是基于系统的，可影响整体的安全防护引擎运行机制，开启防护后可依据策略动作对攻击进行拦截。 关闭防护功能 关闭防护功能仅需要针对全局网络参数做修改，关闭【防护】后会从系统层面进入仅监测模式，威胁日志全部显示为仅检测，无法做拦截。 注意 该功能请谨慎操作。

获取WAF回源IP段 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“域名详情”页Web应用防火墙信息栏中，复制WAF回源IP地址。 放行WAF回源IP段 将获取到的WAF回源IP地址添加到源站安全软件的白名单中。 注意 为了保证您的业务安全性，建议您在放行回源IP段时，仅配置入方向的放行策略，将回源IP段加入白名单，这样能够保证出方向的数据依然能够被WAF检测，从而避免攻击者绕过WAF直接对源站进行攻击。 请注意，如果没有将回源IP段添加到白名单列表，将会导致通过WAF回源的正常业务请求被拦截，导致业务无法正常提供服务。

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

本文将介绍如何设置高频爬虫限制功能。 功能介绍 以 Cookie 为粒度进行统计，防止攻击者盗用合法 Cookie 进行大量请求，通过限制不同统计粒度下访问次数防护爬虫。 注意 注意：目前控制台尚未开放高频爬虫限制功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明。 配置说明 支持配置多个防护条件，最多支持配置5条，多个条件为或关系。 配置项 说明 Bot标识 即爬虫情报库中的IP标识，例如百度爬虫、谷歌爬虫等 情报类型 目前支持收录已知恶意Bot、搜索引擎、IDC机房三类情报 执行动作 支持对某一类的爬虫情报及爬虫标识一键加白、拦截、监控 加白：加白后，访问将不经过Bot防护策略 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志

本文介绍爬虫陷阱功能的相关配置。 功能介绍 即在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。 注意 目前控制台尚未开放爬虫陷阱功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 配置介绍 支持最多配置5个条件，多个条件为或关系。 配置项 说明 防护开关 支持拦截、告警、关闭 处理动作持续时间 即触发规则后的惩罚时间 统计粒度 IP/IP+UA/静态cookie 防护范围 支持配置您要防护的请求范围，支持匹配字段为PATH、REQUESTURI、URI 相关操作 设置Bot策略白名单 设置爬虫情报规则 设置IP情报规则

支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 功能介绍 支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 注意 目前控制台尚未开放IDC IP防护功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明。 设置IDC IP防护规则 支持通过IDC出口厂商维度针对IDC IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 IDC厂商 厂商类型 IDC网络描述 描述IDC IP的来源相关信息 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 相关操作 设置爬虫情报规则 设置Bot防护策略

本小节介绍Web应用防火墙黑白名单最佳实践。 当您需要拉黑部分恶意攻击者或者用户访问，或者希望指定用户、页面的访问不被拦截，您可以在此做黑白名单配置。 除常见的IP和URL的黑白名单外，您可以通过UserAgent的黑白名单对访问的客户端进行限制，可以实现简单的爬虫过滤；您也可以通过Referer字段对用户访问来源做一定的限制，实现对关键业务页面的定制化防护。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“黑白名单”页签。 黑白名单支持IP、Referer、URL、UserAgent四种类型。 您可以添加IP（如127.0.0.1）、IP段（如127.0.0.0/24）、uri路径（如/index?abc页面，仅需添加/index字符段）和其他规则匹配下的字符文本。

本章节介绍如何创建一个ZooKeeper引擎实例 概述 微服务注册中心ZooKeeper是一个分布式应用程序协调服务，是 Google Chubby 的开源实现。利用ZooKeeper的存储配置，实现配置信息的集中式管理和数据的动态更新，保证数据一致性。MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，前者适用于开发测试，后者致力于在性能、可观测和高可用方面做了诸多提升，用于生产环境。 本文将介绍如何创建一个ZooKeeper引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”，推荐您开通集群版，以保障实例的高可用性； 引擎类型：若您需要开通ZooKeeper引擎，则选中“ZooKeeper”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本节为您介绍物理机服务常见的登录类问题。 物理机登录前的准备工作有哪些？ Windows操作系统 请确保您已获得Windows物理机的登录密码。 请确保物理机已绑定弹性IP，以便进行远程登录 Linux操作系统 请确保您已获得登录物理机所需的密码。 如果您使用的是远程登录方式（如SSH），则不需要物理机绑定弹性IP。如果您使用其他方式登录，如物理控制台或远程桌面，那么请确保物理机已绑定弹性IP，以便通过公网访问。 无法登录到Windows物理机怎么办？ 如果无法登录到Windows物理机，请按照以下排查思路进行处理： 检查是否符合登录条件 请确保您拥有正确的登录凭据，包括用户名和密码。 请确保您有访问物理机的权限。 检查网络是否正常 请确保您的计算机与物理机在同一网络中。 检查网络连接是否稳定，排除网络故障的可能性。 检查防火墙配置是否正常 请确保物理机的防火墙配置允许远程桌面连接。 检查物理机所在网络的防火墙设置，确保端口开放。 远程访问端口配置异常 检查物理机的远程桌面服务是否启动，并且监听正确的端口（默认为3389）。 请确保网络中没有其他设备占用了相同的端口。 尝试重启物理机 如果问题仍然存在，请提交工单联系后端技术支持，寻求进一步的排查帮助和解决方案。 无法登录到Linux物理机怎么办？ 当您的物理机无法SSH登录时，我们首先建议您通过控制中心远程登录。

检查节点名配置是否正确 6.进入软件安装目录。 cd /opt 7.查找主备节点的配置文件目录。 find name hacomlocal.xml 8.进入workspace目录。 cd ${BIGDATAHOME}/omserver/OMS/workspace0/ha/local/hacom/conf/ 9.使用vim命令打开hacomlocal.xml，查看local、peer节点配置是否正确，local配置主节点，peer配置备节点。 是，执行步骤12。 否，执行步骤10。 10.修改hacomlocal.xml中主备节点的配置，修改完成后，按Esc回到命令模式，输入命令:wq保存退出。 11.查看此告警信息是否自动清除。 是，处理完毕。 否，执行步骤12。 检查是否防火墙禁用端口 12.执行命令lsof i :20012查询主备节点的心跳端口是否打开，有查询结果说明端口已经开放，否则说明端口被防火墙禁用。 是，执行步骤13。 否，执行步骤16。 13.执行命令iptables P INPUT ACCEPT，防止与服务器断开。 14.清除防火墙。 iptables F 15.查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤16。 收集故障信息 16. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 17. 在“服务”中勾选如下节点信息，单击“确定”。 OmmServer Controller NodeAgent 18. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 19. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

分类 预检查项 检查项详情 权限类 源数据库权限 全量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT。 全量+增量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 用户迁移时，账户需要有mysql.user的SELECT权限。 权限类 目标数据库权限 提供的目标数据库账号必须拥有如下权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。 用户迁移时，需要有mysql库的SELECT、INSERT、UPDATE、DELETE权限。 版本类 源数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 目标数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 迁移版本检查 仅支持目标数据库版本等于或高于源数据库版本。 参数类 GTID状态 源数据库GTID状态建议为开启状态，源数据库实例没有开启GTID的情况下不支持主备倒换，DRS任务会因为位点不续接而中断导致无法恢复。 参数类 性能参数 源数据库建议开启skipnameresolve，减少连接超时的可能性。 参数类 性能参数 源数据库logslaveupdates参数需设置为开启状态，否则会导致迁移失败。 参数类 性能参数 源数据库的binlogrowimage参数需设置为full，否则会导致迁移失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，源库maxallowedpacket参数过小可能会导致任务失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，目标库的maxallowedpacket参数值过小导致目标库数据无法写入造成全量迁移失败。 参数类 sqlmode取值检查 迁移的对象中包含引擎为MyISAM的表，则目标数据库sqlmode不能包含noenginesubstitution参数，否则可能会导致迁移失败。 增量迁移类 Binlog开启 增量迁移时，源数据库的Binlog日志必须打开，且Binlog日志格式必须为Row格式。 增量迁移类 Binlog保留时长 在磁盘空间允许的情况下，建议源数据库Binlog保存时间越长越好，建议为3天，设置为0，可能会导致迁移失败。 源数据库为自建MySQL时，通过设置expirelogsdays参数设置Binlog保留时间。建议将expirelogsday参数设置在合理的范围，确保恢复时断点处的Binlog尚未过期，以保证任务中断后的顺利恢复。 源数据库为RDS for MySQL时，设置binlog保留时间可参考《RDS用户指南》。 增量迁移类 serverid值设置 增量迁移时，必须设置MySQL源数据库的serverid。 如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间。 如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 增量迁移类 session变量设置 增量迁移时，如果设置session变量charactersetclient为binary，可能导致乱码。 目标数据库检查 磁盘空间检查 目标数据库实例必须有足够的磁盘空间。 目标数据库检查 状态检查 目标数据库实例的状态必须正常。 一致性检查 字符集 目标库和源库的字符集需要一致。 一致性检查 字符序 目标库和源库的collationserver需要一致。 一致性检查 时区 目标库和源库的timezone需要一致。 一致性检查 大小写敏感 目标库和源库的lowercasetablenames参数设置需要一致。 一致性检查 事务隔离级别 目标库和源库事务隔离级别需要一致。 一致性检查 groupconcat函数计算结果字符的最大长度 目标库和源库的groupconcatmaxlen参数需要一致 一致性检查 serveruuid参数 目标库和源库serveruuid参数不能相同。 一致性检查 InnoDB检查模式 目标库和源库innodbstrictmode需要一致。 一致性检查 数据块加密参数 目标库和源库blockencryptionmode需要一致。 一致性检查 SQL模式 目标库和源库sqlmode需要一致。 迁移对象类 选择对象检查 支持数据库、表、用户、视图、索引、约束、函数、存储过程、触发器（trigger）和事件（event）的迁移。 仅支持MyISAM和InnoDB表的迁移。 不支持系统库的迁移以及事件状态的迁移。 迁移对象类 无主键表检查 由于无主键表的性能低于主键表的性能，建议将无主键表修改为主键表。 迁移对象类 关联对象检查 相互关联的数据对象要确保同时迁移，避免迁移因关联对象缺失，导致迁移失败。 迁移对象类 外键引用操作检查 不支持外键级联操作。当外键是普通索引的时候，可能会导致表结构创建失败，建议改成唯一索引。 迁移对象类 同名检查 除了MySQL系统数据库之外，目标数据库不能包含与源数据库同名的数据库。 迁移对象类 表名规范检查 源数据库中的库名、表名、视图名不能包含：'<>/"以及非ASCII字符。 源数据库中的库名不允许以iblogfile开头，不能为ibbufferpool、ibdoublewrite、ibdata1、ibtmp1。 迁移对象类 加密表检查 当源库存在加密的表，需要确认目标库是否支持。如果目标库不支持，存在任务失败等风险。

分类 预检查项 检查项详情 权限类 源数据库权限 全量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT。 全量+增量迁移需要具备如下最小权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 用户迁移时，账户需要有mysql.user的SELECT权限。 权限类 目标数据库权限 提供的目标数据库账号必须拥有如下权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。 用户迁移时，需要有mysql库的SELECT、INSERT、UPDATE、DELETE权限。 版本类 源数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 目标数据库版本 支持5.5、5.6、5.7、8.0版本。 版本类 迁移版本检查 仅支持目标数据库版本等于或高于源数据库版本。 参数类 GTID状态 源数据库GTID状态建议为开启状态，源数据库实例没有开启GTID的情况下不支持主备倒换，DRS任务会因为位点不续接而中断导致无法恢复。 参数类 性能参数 源数据库建议开启skipnameresolve，减少连接超时的可能性。 参数类 性能参数 源数据库logslaveupdates参数需设置为开启状态，否则会导致迁移失败。 参数类 性能参数 源数据库的binlogrowimage参数需设置为full，否则会导致迁移失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，源库maxallowedpacket参数过小可能会导致任务失败。 参数类 最大允许传输包的大小 DRS在迁移数据量大或迁移大字段情况下，目标库的maxallowedpacket参数值过小导致目标库数据无法写入造成全量迁移失败。 参数类 sqlmode取值检查 迁移的对象中包含引擎为MyISAM的表，则目标数据库sqlmode不能包含noenginesubstitution参数，否则可能会导致迁移失败。 增量迁移类 Binlog开启 增量迁移时，源数据库的Binlog日志必须打开，且Binlog日志格式必须为Row格式。 增量迁移类 Binlog保留时长 在磁盘空间允许的情况下，建议源数据库Binlog保存时间越长越好，建议为3天，设置为0，可能会导致迁移失败。 源数据库为自建MySQL时，通过设置expirelogsdays参数设置Binlog保留时间。建议将expirelogsday参数设置在合理的范围，确保恢复时断点处的Binlog尚未过期，以保证任务中断后的顺利恢复。 源数据库为RDS for MySQL时，设置binlog保留时间可参考《RDS用户指南》。 增量迁移类 serverid值设置 增量迁移时，必须设置MySQL源数据库的serverid。 如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间。 如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 增量迁移类 session变量设置 增量迁移时，如果设置session变量charactersetclient为binary，可能导致乱码。 目标数据库检查 磁盘空间检查 目标数据库实例必须有足够的磁盘空间。 目标数据库检查 状态检查 目标数据库实例的状态必须正常。 一致性检查 字符集 目标库和源库的字符集需要一致。 一致性检查 字符序 目标库和源库的collationserver需要一致。 一致性检查 时区 目标库和源库的timezone需要一致。 一致性检查 大小写敏感 目标库和源库的lowercasetablenames参数设置需要一致。 一致性检查 事务隔离级别 目标库和源库事务隔离级别需要一致。 一致性检查 groupconcat函数计算结果字符的最大长度 目标库和源库的groupconcatmaxlen参数需要一致 一致性检查 serveruuid参数 目标库和源库serveruuid参数不能相同。 一致性检查 InnoDB检查模式 目标库和源库innodbstrictmode需要一致。 一致性检查 数据块加密参数 目标库和源库blockencryptionmode需要一致。 一致性检查 SQL模式 目标库和源库sqlmode需要一致。 迁移对象类 选择对象检查 支持数据库、表、用户、视图、索引、约束、函数、存储过程、触发器（trigger）和事件（event）的迁移。 仅支持MyISAM和InnoDB表的迁移。 不支持系统库的迁移以及事件状态的迁移。 迁移对象类 无主键表检查 由于无主键表的性能低于主键表的性能，建议将无主键表修改为主键表。 迁移对象类 关联对象检查 相互关联的数据对象要确保同时迁移，避免迁移因关联对象缺失，导致迁移失败。 迁移对象类 外键引用操作检查 不支持外键级联操作。当外键是普通索引的时候，可能会导致表结构创建失败，建议改成唯一索引。 迁移对象类 同名检查 除了MySQL系统数据库之外，目标数据库不能包含与源数据库同名的数据库。 迁移对象类 表名规范检查 源数据库中的库名、表名、视图名不能包含：'<>/"以及非ASCII字符。 源数据库中的库名不允许以iblogfile开头，不能为ibbufferpool、ibdoublewrite、ibdata1、ibtmp1。 迁移对象类 加密表检查 当源库存在加密的表，需要确认目标库是否支持。如果目标库不支持，存在任务失败等风险。

创建泳道组 我们的demo应用使用tracectxid作为链路追踪的key，app1作为微服务的入口应用。 添加base和test泳道 确定网关的访问入口地址，设置为GATEWAYHOST环境变量，执行如下语句访问： for i in {1..100}; do curl echo; sleep 1; done; 可以看到访问在两个版本之间跳变，微服务之间的调用也是在版本间穿插进行，此时的全链路没有统一的路由策略。 请求带上xcsmtraffictag: base，同时指定请求级别的tracectxid： for i in {1..200}; do curl H "xcsmtraffictag: base" H "tracectxid: trace$i" echo; sleep 1; done; 可以看到请求只在base版本之间调用： 修改头部xcsmtraffictag: test，可以看到请求只在test版本之间调用：

2.2微信ClawBot接入验证 扫码完成后，在已接入通道列表确保您的微信通道已完成添加。 可在微信中与已对接微信ClawBot发起对话。若机器人能正常以 AI 形式回复，即表示 OpenClaw 已成功接入微信。

本章节介绍ZooKeeper数据管理功能 概述 ZooKeeper引擎的数据管理功能，提供了ZooKeeper节点树上数据节点的可视化管理能力，支持增删查改和ACL控制能力，同时对注册到ZooKeeper实例上的服务信息进行了提取和展示，使您更方便地查看注册服务相关的元数据信息。 前提条件 已开通微服务引擎MSE，参考章节：创建ZooKeeper引擎 开通ZooKeeper实例并且状态正常。 操作步骤 ZNode管理 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在左侧导航栏，选择数据管理>ZNode管理。 5. 引擎中默认包含ZooKeeper节点，ZooKeeper节点中默认包含两个子节点，分别是config和quota。ZooKeeper节点及其子节点纳入保留节点，不允许用户进行写操作。 6. 点击创建节点按钮，可以创建节点，输入节点路径和节点信息，单个ZNode最大支持64K数据量。 7. 创建完成后，可以返回节点管理页面查看节点和数据信息。在节点管理页面，通过右键鼠标可以删除、增加子节点和同级节点。 ACL权限 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池 ； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在左侧导航栏，选择数据管理>ZNode管理； 5. 选择一个ZNode节点，在右下方会出现该节点的详细ACL权限信息； 6. 目前提供的权限修改有写权限（w），删除权限(d)，创建权限（c）,点击下拉框可以编辑权限； 7. 取消或新增对应权限后，页面对应ACL权限的显示会相应变化； 注意 ACL适用于使用ZooKeeper客户端或者API访问实例集群的场景，MSE注册配置中心控制台自带超管权限，因此您可以在控制台上操作所有数据，请您慎重操作，同时控制台也提供了审计日志查询功能以帮助您进行溯源；

本章节主要介绍作业开发的 提交版本并解锁。 提交版本并解锁，涉及到数据开发的版本管理和编辑锁定功能。 版本管理：用于追踪脚本/作业的变更情况，支持版本对比和回滚。系统最多保留最近10条的版本记录，更早的版本记录会被删除。另外，版本管理还可用于区分开发态和生产态，这两种状态隔离，互不影响。 − 开发态：未提交版本的脚本/作业为开发态，仅用于个人调试开发。在开发态下，可以随意编辑、保存、运行脚本/作业，不会影响调度中的脚本/作业；另外在作业关联脚本、配置作业依赖时，被关联的脚本/作业均会读取开发态的配置。 − 生产态：提交后版本的脚本/作业为生产态，用于正式调度。在正式调度中，调用脚本、实例重跑、作业依赖、补数据等场景均是关联脚本/作业最新的已提交版本。 编辑锁定：用于避免多人协同开发脚本/作业时产生的冲突。新建或导入脚本/作业后，默认当前用户锁定脚本/作业，只有当前用户自己锁定的脚本/作业才可以直接编辑、保存或提交，通过“解锁”功能可解除锁定；处于解除锁定或他人锁定状态的脚本/作业，必须通过“抢锁”功能获取锁定后，才能继续编辑、保存或提交。 须知 当前脚本/作业的锁定状态可以通过脚本/作业的目录树查看。 对于已被他人锁定状态的脚本/作业，您需要通过重新打开该脚本/作业，查看最近的保存/提交时的内容。已打开的脚本/作业内容不会实时刷新。 在DataArts Studio更新编辑锁定功能前已经创建的脚本/作业，在更新后默认为解除锁定状态。您需要通过“抢锁”功能获取锁定后，才能继续编辑、保存或提交。 抢锁的操作依赖于软硬锁的处理策略。配置软硬锁的策略请参见配置默认项。 软锁：忽略当前作业或脚本是否被他人锁定，可以进行抢锁或解锁。 硬锁：若作业或脚本被他人锁定，则需锁定的用户解锁之后，当前使用人方可抢锁，空间管理员或DAYU Administrator可以任意抢锁或解锁。 不建议直接抢锁处于他人锁定状态的脚本/作业，这会导致他人的修改丢失。如果您有修改需求，请先联系锁定人将脚本/作业解锁，然后再抢锁。 详见下图：锁定状态转换图

本章节主要介绍脚本开发的提交版本并解锁。 提交版本并解锁，涉及到数据开发的版本管理和编辑锁定功能。 版本管理：用于追踪脚本/作业的变更情况，支持版本对比和回滚。系统最多保留最近10条的版本记录，更早的版本记录会被删除。另外，版本管理还可用于区分开发态和生产态，这两种状态隔离，互不影响。 − 开发态：未提交版本的脚本/作业为开发态，仅用于个人调试开发。在开发态下，可以随意编辑、保存、运行脚本/作业，不会影响调度中的脚本/作业；另外在作业关联脚本、配置作业依赖时，被关联的脚本/作业均会读取开发态的配置。 − 生产态：提交后版本的脚本/作业为生产态，用于正式调度。在正式调度中，调用脚本、实例重跑、作业依赖、补数据等场景均是关联脚本/作业最新的已提交版本。 编辑锁定：用于避免多人协同开发脚本/作业时产生的冲突。新建或导入脚本/作业后，默认当前用户锁定脚本/作业，只有当前用户自己锁定的脚本/作业才可以直接编辑、保存或提交，通过“解锁”功能可解除锁定；处于解除锁定或他人锁定状态的脚本/作业，必须通过“抢锁”功能获取锁定后，才能继续编辑、保存或提交。 须知 当前脚本/作业的锁定状态可以通过脚本/作业的目录树查看。 对于已被他人锁定状态的脚本/作业，您需要通过重新打开该脚本/作业，查看最近的保存/提交时的内容。已打开的脚本/作业内容不会实时刷新。 在DataArts Studio更新编辑锁定功能前已经创建的脚本/作业，在更新后默认为解除锁定状态。您需要通过“抢锁”功能获取锁定后，才能继续编辑、保存或提交。 抢锁的操作依赖于软硬锁的处理策略。配置软硬锁的策略请参见配置默认项。 软锁：忽略当前作业或脚本是否被他人锁定，可以进行抢锁或解锁。 硬锁：若作业或脚本被他人锁定，则需锁定的用户解锁之后，当前使用人方可抢锁，空间管理员或DAYU Administrator可以任意抢锁或解锁。 不建议直接抢锁处于他人锁定状态的脚本/作业，这会导致他人的修改丢失。如果您有修改需求，请先联系锁定人将脚本/作业解锁，然后再抢锁。 详见下图：锁定状态转换图

节点部署原则 适用场景 组网规则 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 9 + DN × n （推荐）数据节点数5002000时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 5 + DN × n （推荐）数据节点数100500时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 3 + DN × n （推荐）数据节点数30100时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点和控制节点合并部署，数据节点单独部署 (MN+CN) × 3 + DN × n （推荐）数据节点数330时采用此方案 集群内节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点合并部署 l 节点数小于6的集群使用此方案 l 此方案至少需要3个节点 说明 生产环境或商用环境不推荐使用此场景： l 管理节点、控制节点和数据节点合并部署时，集群性能和可靠性都会产生较大影响。 l 如节点数量满足需求，建议将数据节点单独部署。 l 如节点数量不满足将数据节点单独部署的要求，必须使用此场景时，需要使用双平面组网方式。将管理网络与业务网络流量隔离，防止业务平面的数据量过大，导致管理操作不能正常下发。 集群内节点部署在同一子网，集群内通过汇聚交换机二层互联。

相关操作 因为隧道的对称性，还需要在您数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。

访问控制 访问控制（Access Control）指防火墙或云主机安全组上的一种有状态的包过滤设置，可以根据设定的条件对业务服务器接口上的数据包进行过滤，用于设置单台或多台服务器的网络访问控制，对服务器的出入向流量进行安全过滤。