远程登录开发机开启后,用户能够在本地或者其他设备上,使用终端或者VSCode远程登录开发机实例,通过SSH稳定且快速的建立连接。 使用前提 申请白名单：当前远程登录开发机暂未全网开放，需要联系平台增加账户白名单方可正常使用。 镜像准备：当前仅支持平台预置的三款预装ssh相关组件的镜像进行远程登录操作。 状态：开发机处于运行中，且开发机成功绑定VPC终端节点服务。 远程登录开发机 添加白名单：客户需要向平台申请加入运营后台开发机管理的白名单，添加进白名单的客户账号及其子账号可见平台远程登录的开关。需要提供相关信息给平台, 参数 说明 账户名 添加白名单后当前租户及其所有子账号可以开启开发机远程登录开关。 邮箱 邮箱为开通弹性IP所绑定邮箱，错误填写会导致弹性IP绑定失败。 本机生成密钥对：在本机上通过指令”sshkeygen“生成密钥对，生成的文件在”~/.ssh“文件夹下。 shell sshkeygen 选择带有SSH标签的系统预置镜像，镜像中预置了SSH登录所需要的ssh依赖，目前仅支持带有SSH标签的预置镜像开启远程登录开发机功能： 序号 镜像名称 1 ubuntu22.04teleformerscann8.2.rc1npu:v0.2.0.telechat25.post1.ssh 2 ubuntu22.04teleformerscann8.2.rc1npu:v0.2.0.post1.ssh 3 ubuntu22.04teleformerscuda12.4gpu:v0.5.ssh 配置SSH访问：当创建开发机时开启了"启用SSH"，可以通过详情页查看远程登录的访问配置。只有当开发机在运行中状态且EIP绑定成功时可以复制访问指令，绑定中可以通过点击“刷新”按钮获取最新的绑定状态，绑定失败时可以通过点击“刷新“按钮重试。 参数 说明 启用SSH 开关，默认关闭，开启后可配置远程登录访问。 SSH公钥 输入框，最多可输入10个需要用分号分隔。 查看SSH访问配置：启用SSH后，开发机进入运行中状态且终端节点服务绑定成功时，可以查看终端节点服务ID和端口号。 参数 说明 启用SSH 开发机创建完成后用户不能自行关闭远程登录： 1）可以联系平台运维同事后台操作关闭当前开发机的远程登录开关； 2）或者删除当前账号的白名单，删除后当前账户机器子账号不具备远程登录开发机的能力，并且会关闭所有已经开启远程登录开发机的开关。 SSH公钥 默认显示密文，公钥为平台为您创建的用于身份验证，实现远程服务器登录操作。 终端服务节点ID 只有当状态为绑定成功时才能查看信息，其余状态： 1）绑定中，表示当前正在绑定，用户可点击刷新按钮重试获取绑定状态； 2）绑定失败，表示绑定失败，用户可以点击刷新按钮重试绑定。 创建EIP：完成EIP的创建，创建指南：++申请弹性IP弹性IP EIP用户指南 天翼云++。（创建弹性IP账号的邮箱需要与运营后台加白的邮箱一致） 创建VPC：用户构建隔离、私密的虚拟网络环境。创建指南：创建虚拟私有云VPC虚拟私有云 VPC虚拟私有云VPC管理 天翼云 创建VPC终端节点：VPCE需要和VPC终端节点服务在同一个资源池下，通过VPC终端节点访问终端节点服务。VPC终端节点服务为集群粒度，在同一个集群下终端节点服务ID相同时可以复用同一个终端节点，不用多次创建。创建指南：++购买终端节点VPC终端节点用户指南终端节点管理 天翼云++ 终端节点服务：根据给出的终端节点服务id，选择按照id查找服务，点击验证，可以查到到对应的终端节点服务，点击下一步创建终端节点。 VPC：此处的vpc需要贯穿于终端节点与NAT网关使用。 创建NAT网关：通过EIP绑定NAT网关，对外提供VPC内的云上服务。创建指南：++公网NAT网关简介NAT网关操作指南公网NAT网关 天翼云++ VPC：需要和VPC终端节点绑定的VPC保持一致。 创建DNAT规则：通过映射的方式把VPC内的服务对外提供。创建指南：++管理DNAT规则NAT网关操作指南公网NAT网关 天翼云++ EIP：选择目标待绑定的EIP。 终端节点IP：通过终端节点详情页查看。 终端节点服务端口：通过开发机实例详情页查看，公网端口号与内网端口保持一致即可。 本地访问开发机： 完成配置后，通过ssh命令访问开发机实例 plaintext ssh i 私钥文件地址 root@EIP地址 p 终端节点服务端口 如果当前已经在.ssh目录下，命令为： plaintext ssh root@EIP p 终端节点服务端口

集群扩容和缩容 不支持自动扩缩容集群中的 Master 节点，仅对集群的node工作节点进行自动扩容缩容。 用户在扩容集群规模时必须满足用户配额（ECS节点、弹性IP等）的前提，如果用户配额不满足，需要提交工单，申请扩大配额。 存储卷 云硬盘存储卷使用约束： 云硬盘不支持跨可用区挂载，且不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。由于CCE集群各节点之间暂不支持共享盘的数据共享功能，多个节点挂载使用同一个云硬盘可能会出现读写冲突、数据缓存冲突等问题，所以创建无状态工作负载时，若使用了EVS云硬盘，建议工作负载只选择一个实例。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 文件存储卷使用约束： 支持多个PV挂载同一个SFS或SFS Turbo，但有如下限制： 1. 多个不同的PVC/PV使用同一个底层SFS或SFS Turbo卷时，如果挂载至同一Pod使用，会因为PV的volumeHandle参数值相同导致无法为Pod挂载所有PVC，出现Pod无法启动的问题，请避免在同一个Pod中挂载相同的SFS或SFS Turbo。 2. PV中persistentVolumeReclaimPolicy参数建议设置为Retain，否则可能存在一个PV删除时级联删除底层卷，其他关联这个底层卷的PV会由于底层存储被删除导致使用出现异常。 3. 重复用底层存储时，建议在应用层做好多读多写的隔离保护，防止产生的数据覆盖和丢失。 对象存储卷使用约束如下： 使用对象存储时，挂载点不支持修改属组和权限。 使用PVC挂载对象存储时，负载每挂载一个对象存储卷，后端会产生一个常驻进程。当负载使用对象存储数过多或大量读写对象存储文件时，常驻进程会占用大量内存，为保证负载稳定运行，建议负载使用的对象存储卷数量不超过其申请的内存GiB数量，如负载的申请的内存规格为4GiB，则建议其使用的对象存储数不超过4。 安全容器不支持使用对象存储。 挂载普通桶时不支持硬链接（Hard Link）。 在工作负载中挂载OBS存储卷声明时，不支持只读模式（readonly）。 本地持久卷使用约束： 本地持久卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>2.1.23，推荐使用>2.1.23版本。 移除节点、删除节点、重置节点和缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。移除节点、删除节点、重置节点和缩容节点时使用了本地持久存储卷的Pod会从待删除、重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为该PVC对应的底层逻辑卷已不存在。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 本地持久卷不支持被多个工作负载或多个任务同时挂载。 本地临时卷使用约束： 本地临时卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录，否则可能会导致使用了临时存储卷的Pod无法正常删除。 快照与备份使用约束： 快照功能仅支持v1.15及以上版本的集群，且需要安装基于CSI的everest插件才可以使用。 基于快照创建的云硬盘，其子类型（普通IO/高IO/超高IO）、是否加密、磁盘模式（VBD/SCSI）、共享性(非共享/共享)、容量等都要与快照关联磁盘保持一致，这些属性查询和设置出来后不能够修改。 只有可用或正在使用状态的磁盘能创建快照，且单个磁盘最大支持创建7个快照。 创建快照功能仅支持使用everest插件提供的存储类（StorageClass名称以csi开头）创建的PVC。使用Flexvolume存储类（StorageClass名为ssd、sas、sata）创建的PVC，无法创建快照。 加密磁盘的快照数据以加密方式存放，非加密磁盘的快照数据以非加密方式存放。 LVM 配置约束： 节点中LVM的backup功能已修改默认配置（位于/etc/lvm/lvm.conf路径）：安装存储插件Everest（> 2.4.98）后，Archive保留时间会被约束为1天，以防止大量LVM操作的历史元数据侵占磁盘空间。

本章节主要介绍翼MapReduce的添加子租户操作。 操作场景 根据业务对资源消耗以及隔离的规划与需求，管理员可以通过FusionInsight Manager创建子租户，将当前租户的资源进一步分配以满足实际使用场景。 前提条件 已添加父租户，且属于非叶子租户。 已根据业务需求规划租户的名称，不得与当前集群中已有的角色、HDFS目录或者Yarn队列重名。 已规划当前租户可分配的资源，确保每一级别租户下，直接子租户的资源之和不超过当前租户。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，选择父租户节点然后单击，打开添加子租户的配置页面，参见下表为子租户配置属性。 子租户参数一览 参数名 描述 集群 显示上级父租户所在集群。 父租户资源 显示上级父租户的名称。 名称 指定当前租户的名称，长度为3~50个字符，可包含数字、字母或下划线（）。 根据业务需求规划子租户的名称，不得与当前集群中已有的角色、HDFS目录或者Yarn队列重名。 租户类型 指定租户是否是一个叶子租户： 选择“叶子租户”：当前租户为叶子租户，不支持添加子租户。 选择“非叶子租户”：当前租户为非叶子租户，支持添加子租户，但租户层级不能超过5层。 计算资源 为当前租户选择动态计算资源。 选择“Yarn”时，系统自动在Yarn中以子租户名称创建任务队列。− 如果是叶子租户，叶子租户可直接提交到任务队列中。− 如果是非叶子租户，非叶子租户不能直接将任务提交到队列中。但是，Yarn会额外为非叶子租户增加一个任务队列（隐含），队列默认命名为“default”，用于统计当前租户剩余的资源容量，实际任务不会分配在此队列中运行。 不选择“Yarn”时，系统不会自动创建任务队列。 默认资源池容量（%） 配置当前租户使用的计算资源百分比，基数为父租户的资源总量。 默认资源池最大容量（%） 配置当前租户使用的最大计算资源百分比，基数为父租户的资源总量。 存储资源 为当前租户选择存储资源。 选择“HDFS”时，系统将自动在HDFS父租户目录中，以子租户名称创建文件夹。 不选择“HDFS”时，系统不会分配存储资源。 文件目录数上限 配置文件和目录数量配额。 存储空间配额 配置当前租户使用的HDFS存储空间配额。 当存储空间配额单位设置为MB时，范围为1～8796093022208，当“存储空间配额单位”设置为GB时，范围为1～8589934592。 此参数值表示租户可使用的HDFS存储空间上限，不代表一定使用了这么多空间。 如果参数值大于HDFS物理磁盘大小，实际最多使用全部的HDFS物理磁盘空间。 如果此配额大于父租户的配额，实际存储量不超过父租户配额。 存储路径 配置租户在HDFS中的存储目录。 系统默认将自动在父租户目录中以子租户名称创建文件夹。例如子租户“ta1s”，父目录为“/tenant/ta1”，系统默认自动配置此参数值为“/tenant/ta1/ta1s”，最终子租户的存储目录为“/tenant/ta1/ta1s”。 支持在父目录中自定义存储路径。 描述 配置当前租户的描述信息 说明 创建租户时将自动创建租户对应的角色、计算资源和存储资源。 新角色包含计算资源和存储资源的权限。此角色及其权限由系统自动控制，不支持通过“系统 > 权限> 角色”进行手动管理，角色名称为“ 租户名称 集群ID ”。首个集群的集群ID默认不显示。 使用此租户时，请创建一个系统用户，并绑定租户对应的角色。具体操作请参见 子租户可以将当前租户的资源进一步分配。每一级别父租户下，直接子租户的资源百分比之和不能超过100%。所有一级租户的计算资源百分比之和也不能超过100%。 3. 当前租户是否需要关联使用其他服务的资源？ 是，执行步骤4。 否，执行步骤5。 4. 单击“关联服务”，配置当前租户关联使用的其他服务资源。 在“服务”选择“HBase”。 在“关联类型”选择： − “独占”表示该租户独占服务资源，其他租户不能再关联此服务。 − “共享”表示共享服务资源，可与其他租户共享使用此服务资源。 说明 创建租户时，租户可以关联的服务资源只有HBase。为已有的租户关联服务时，可以关联的服务资源包含：HDFS、HBase和Yarn。 若为已有的租户关联服务资源：在租户列表单击目标租户，切换到“服务关联”页签，单击“关联服务”单独配置当前租户关联资源。 若为已有的租户取消关联服务资源：在租户列表单击目标的租户，切换到“服务关联”页签，单击“删除”，并勾选“我已阅读此信息并了解其影响。”，再单击“确定”删除与服务资源的关联。 单击“确定”。 5. 单击“确定”，等待界面提示租户创建成功。

本文向您介绍如何创建企业版VPN连接。 场景描述 如果您需要将VPC中的弹性云主机和数据中心或私有网络连通，创建VPN网关、对端网关之后，需要继续创建VPN连接。 约束与限制 使用静态路由模式创建VPN连接时，使能NQA前请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”页面，单击“创建VPN连接”。 说明 VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性，强烈建议配置。 4. 根据界面提示配置参数，单击“立即购买”。 表VPN连接参数说明 参数 说明 取值样例 名称 VPN连接的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpn001 VPN网关 选择待关联的VPN网关名称。 如果您使用国密型VPN网关，且VPN网关没有绑定相关证书，请先单击右侧“上传证书”完成上传证书操作，否则VPN连接将无法建立。 vpngw001 网关IP 选择VPN网关IP。 VPN网关对接同一对端网关时，不能选择已使用过的EIP地址。 可选的网关IP 对端网关 选择对端网关信息。 如果您使用国密型网关，且对端网关没有绑定CA证书，请先参见本指南“企业版对端网关管理 > 上传对端网关证书”上传CA证书，否则VPN连接将无法建立。 说明 如果一个对端网关同时对接多个VPN网关，则VPN网关的BGP ASN和连接模式需要相同。 cgw001 连接模式 IPsec连接的模式，支持路由模式和策略模式。 静态路由模式。 根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通。 BGP路由模式。 根据BGP动态路由确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通，互通子网数量多或变化频繁、与专线互备等组网场景。 策略模式。 根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。 适用场景：对端网关之间要求隔离。 静态路由模式 对端子网 指需要通过VPN连接访问云上VPC的用户侧子网。 若存在多个对端子网，请用半角逗号（,）隔开。 说明 对端子网可以和本端子网重叠，但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含；不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段，例如100.64.0.0/10、214.0.0.0/8。 172.16.1.0/24,172.16.2.0/24 接口分配方式 仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。 说明 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。 如果对端网关的tunnel接口地址固定不可更改，请使用“手动分配”模式，并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。 手动分配。 仅支持在169.254.x.x/30网段（除169.254.195.x/30）范围内，配置VPN网关本端接口地址的tunnel接口地址；对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。 例如：本端接口地址配置为169.254.1.6/30，则对端接口地址自动配置为169.254.1.5/30。 自动分配。 VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。 自动分配的本端接口地址/对端接口地址，可以在VPN连接页面，单击“修改连接信息”进行查看。 自动分配 本端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在VPN网关上的tunnel接口地址。 对端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 检测机制 仅“连接模式”采用“静态路由模式”时需要配置。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 功能开启后，VPN网关会自动对对端接口地址进行NQA探测。 勾选 预共享密钥 VPN网关和对端网关的预共享密钥需要保持一致。 取值范围： 取值长度：8~128个字符。 只能包括以下几种字符，且必须包含三种及以上类型： 数字 大写字母 小写字母 特殊符号：包括“~”、“!”、“@”、“

Apache Dubbo是一款RPC框架，用于实现微服务架构；Dubbo2.X版本通信层基于私有协议实现，Dubbo3的底层通信协议已经升级为HTTP/2，利用服务网格原生的HTTP治理能力就可以实现对Dubbo3服务的治理。服务网格针对使用Dubbo2的场景提供了CRD的形式实现服务治理能力，本文主要介绍服务网格对Dubbo2服务的治理和配置说明。 注意 本功能仅针对Dubbo2.X版本，如果要对Dubbo3做服务治理，基于服务网格原生DestinatinRule、VirtualService就可以实现。 操作 进入服务网格控制台 > 流量管理中心 > Dubbo协议治理 菜单下，可以创建、查看、修改、删除DubboProxyRule规则。 配置示例 服务网格提供了CRD的配置方式实现对Dubbo2服务的治理配置。如下示例 给匹配标签appdubbosamplesapiserverconsumerdubbo的Dubbo服务消费者下发访问Dubbo服务治理规则，匹配规则为： 1. 请求Dubbo接口名不限，版本号为1.0.0 2. Dubbo方法为sayHello 3. 参数0的范围在10086和11000之间 4. 请求路由到dubbosamplesapiserverprovider.dubbodemo.svc.cluster.local的v1和v2版本，权重比例为20/80（目标服务的版本通过DestinationRule定义） apiVersion: istio.ctyun.cn/v1beta1 kind: DubboProxyRule metadata: name: testmethodparamsexact spec: workloadSelector: labels: app: dubbosamplesapiserverconsumer port: 20880 configs: name: dubboroutertestmethodparamsexact interface: '' version: 1.0.0 routes: match: method: name: exact: sayHello paramsmatch: '0': rangematch: start: 10086 end: 11000 route: destination: host: dubbosamplesapiserverprovider.dubbodemo.svc.cluster.local subset: v1 weight: 20 host: dubbosamplesapiserverprovider.dubbodemo.svc.cluster.local subset: v2 weight: 80

本章节主要介绍应用容灾多活产品类问题。 应用容灾多活解决什么问题？ 应用容灾多活是为应用提供高可用解决方案的产品，提供应用流量调度、数据同步、演练容灾一站式管理，助力企业云上业务实现多活高可用建设。 应用容灾多活支持哪些容灾架构？ 应用容灾多活目前支持应用双活和数据双活两种基本架构，客户可以根据自身业务的发展状况、业务规模、物理架构、容灾诉求和投入成本等，灵活选择合适的容灾架构。 应用容灾多活与其他云产品的关系？ 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期。 应用容灾多活与云应用平台冲突吗？ 应用容灾多活与现有云产品均不存在功能冲突，通过深度集成云上业务使用的核心产品，对应用进行分层抽象，帮助业务屏蔽组件管理差异，自动编排有序的容灾流程。 应用容灾多活要求用户使用全套天翼云产品吗？ 不一定。容灾多活产品构建的容灾架构，对应用进行分层管理，通过控制面和数据面的管控编排与容灾逻辑织入，实现应用多活的容灾调度。 应用容灾多活提供控制面能力，根据组件化的程度，用户可以选择以下数据面策略： 流量入口使用多活配套网关，应用层相关组件自建。 流量入口使用多活配套网关，数据层使用多活支持的天翼云数据库产品与同步服务，应用层相关组件自建。 流量入口、微服务、数据库、消息等使用多活支持的天翼云产品与服务，其他组件可参考接入示例自建，或提交工单确认是否支持。

云应用引擎支持基于 K8s ServiceName 的多语言服务注册发现功能，通过 ServiceName 做服务间调用。您可以为应用配置一个云应用引擎集群内可以访问的固定域名，解决每次部署以后实例 IP 变化的问题。本文介绍如何通过云应用引擎控制台，为应用配置基于 K8s ServiceName 的服务访问。 背景信息 在分布式微服务框架下，当服务上下线变更时，通过服务注册与服务发现功能，实现服务端和调用端的正常通信。 服务注册：针对服务端。服务实例把自身的服务信息注册到注册中心后，调用端从注册中心读取并订阅相关信息。 服务发现：针对调用端。注册中心对服务下的实例地址和元数据进行探测，并以预先定义的接口提供给调用端进行查询。服务实例向注册中心发起请求，在获取依赖的服务信息后，再通过这些信息去请求提供的服务。 使用限制 该域名仅支持访问 CAE 应用内的实例，不支持其他实例或者集群通过该域名访问 CAE，例如FC、ACK、ECS。如果其他产品需要访问 CAE，建议您绑定一个私网/公网 ELB 来提供访问。更多信息，请参见为应用绑定公网 ELB 访问。 该域名不支持使用 ping 命令访问 K8s Service，您可以在代码里通过 K8s Service 以 TCP 或者 UDP 的方式进行访问。建议您使用 curl命令，测试应用的Pod IP来排查网络是否联通。 应用 Pod 无法通过 K8s Service 访问到应用 Pod 自身。 Job 不支持通过 K8s Service 的方式访问应用。 如果服务端应用与客户端应用想要进行互相调用，两者都需要先配置 K8s Service。

背景信息 数据库迁移服务（CMSDMS，Database Migration Service）在开始数据库迁移之前需要一台服务器部署数据转发节点并完成节点安装。 目前仅支持使用Linux系统的服务器。 操作场景 本节为您介绍数据库迁移服务数据转发节点安装的相关操作。 支持的操作系统 目前数据转发节点仅支持以下操作系统： centos：7 ubuntu：21、22 ctyunos：2 安装步骤 下载与准备 1. 下载安装包：使用wget命令下载最新的数据转发节点安装包 sudo wget 安装步骤 1. 解压文件：下载完成后，使用tar命令解压下载的压缩包 sudo tar xzvf cmpcompose2.0.1x8664.tar.gz 2. 授权脚本：为了确保安装过程顺利进行，请赋予所有.sh脚本执行权限 sudo chmod a+x .sh 3. 开始安装：执行安装脚本以完成数据转发节点的安装 sudo ./install.sh 示例如下： 后续配置 添加节点 安装完成后，请前往“节点管理”模块添加新节点。 端口设置 默认情况下，节点服务监听端口为18080。建议您采取以下措施保障主机安全： 安装后立即配置防火墙规则，仅允许外部访问18080端口。 当节点未被使用时，及时关闭对外暴露的端口，减少潜在的安全风险。

5. Ingress 控制器和服务不同步，如何解决？ 如果你发现 Ingress 控制器和服务不同步，可能是由多种原因导致的。以下是一些可能的问题及其相应的解决方案。 Ingress 控制器没有正确配置或安装 ：确保你正确安装并配置了 Ingress 控制器。检查 Ingress 控制器的 Pods 的状态和日志，以确认它们是否正在正常运行。如果存在任何错误，根据错误信息进行故障排查。 Ingress 规则没有正确配置 ：检查你的 Ingress 资源的配置，确保你已正确定义了路由规则，并且这些规则指向了正确的服务和端口。 服务或 Pods 不可用 ：Ingress 控制器将流量路由到服务，然后由服务路由到 Pods。如果服务或 Pods 不可用，可能会导致 Ingress 控制器和服务不同步。检查服务和 Pods 的状态，确保它们正在正常运行。 Kubernetes API 服务器不可用 ：Ingress 控制器通过 Kubernetes API 服务器获取服务的信息。如果 API 服务器不可用，可能会导致 Ingress 控制器和服务不同步。检查 API 服务器的状态和日志，以确认它是否正在正常运行。 网络问题 ：如果网络配置不正确，可能会导致 Ingress 控制器无法与服务或 Pods 通信。这可能是由于网络策略、防火墙规则或其他网络配置问题导致的。进行网络故障排查，以确认网络配置是否正确。解决这些问题可能需要查看和理解 Ingress 控制器、服务和 Pods 的日志，以及可能需要进行网络和 Kubernetes API 服务器的故障排查。

您可以通过在虚拟私有云VPC中创建终端节点的方式，实现同资源池云主机通过内网访问对象存储。云主机和对象存储（简称ZOS）天然内网互通，内部访问不会产生公网流量，且时延更低安全性更高。 方案优势 云主机和对象存储服务位于天翼云同一地域或可用区时，它们之间的网络通信会默认通过内网进行。这种内网通信的优势包括： 低时延：内网通信避免了数据传输需要经过公网的中继节点，因此通信时延更低，能够提供更快的数据传输速度。 高安全性：由于内网通信不经过公网，数据传输在物理和网络上更受保护，降低了被恶意攻击或非法访问的风险。这对于处理敏感数据或要求严格安全性的应用非常重要。 节省成本：内网通信无需经过公网，避免了产生公网流量而导致的数据传输费用。特别是对于大规模数据传输或频繁的内部通信场景，能够在一定程度上减少费用开销。 前提条件 云主机和对象存储服务位于同一地域或可用区。 对象存储服务的内网访问权限已正确配置，并且云主机可以通过内网地址访问对象存储。 云主机的网络设置不会限制内网通信，例如没有防火墙规则或访问控制策略阻止内网访问。 使用须知 所属地域已开通对象存储服务。 采用内网访问对象存储时，需确保待访问的对象存储与云主机处于同一个地域。

安全保障 多种安全服务，多维度防护 Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。 安全评估 提供对用户云环境的安全评估，帮助用户快速发现安全弱点和威胁，同时提供安全配置检查，并给出安全实践建议，有效减少或避免由于网络中病毒和恶意攻击带来的损失。 智能化进程管理 提供智能的进程管理服务，基于可定制的白名单机制，自动禁止非法程序的执行，保障弹性云主机的安全性。 漏洞扫描 支持通用Web漏洞检测、第三方应用漏洞检测、端口检测、指纹识别等多项扫描服务。 软硬结合 搭载专业的硬件设备 弹性云主机搭载在专业的硬件设备上，能够深度进行虚拟化优化技术，用户无需自建机房。 随时获取虚拟化资源 可随时从虚拟资源池中获取并独享资源，并根据业务变化弹性扩展或收缩，像使用本地PC一样在云上使用弹性云主机，确保应用环境可靠、安全、灵活、高效。 弹性伸缩 自动调整计算资源 动态伸缩：基于伸缩组监控数据，随着应用运行状态，动态增加或减少弹性云主机实例。 定时伸缩：根据业务预期及运营计划等，制定定时及周期性策略，按时自动增加或减少弹性云主机实例。 灵活调整云主机配置 规格、带宽可根据业务需求灵活调整，高效匹配业务要求。 灵活的计费模式 支持包年/包月、按需计费模式购买云主机，满足不同应用场景，根据业务波动随时购买和释放资源。

本文主要咨询类问题 APM Agent和其他产品Agent（如Pinpoint）是否兼容？ APM Agent和其他产品Agent都不兼容。APM大多是基于ASM框架进行字节码插桩实现的，同时安装两个Agent相当于对您的代码插桩两次，而不同产品的插桩代码实现不同，代码冲突可能造成严重的性能问题，因此建议您不要同时安装多个Agent。 APM指标数据采样策略是什么？ 指标数据周期性完整采集，默认采集周期为1分钟。 如何检查用户机器与PODLB的网络连通性？ 1. 执行ping安装命令中的masteraddress的IP地址，如果有如下返回，则表明网络是连通的。 2. 再执行curl kv安装命令中的masteraddress的IP地址和端口号，如果返回400错误码，表明防火墙也是开通的。 如果存在网络不通，请联系技术支持。 为什么CCE开启java探针后，APM无监控数据？ CCE开启java探针后，APM无监控数据，可能是由于用户使用的java探针版本过低、用户使用Tomcat服务启动的或者用户使用的免费版的APM。 用户在APM界面点击免费开通APM（免费版可以使用10个探针），或者升级到企业版，请用户使用最新版本的java探针，重启容器后APM界面显示正常。

托管检测与响应服务（原生版）为客户提供安全托管、安全护航、应急响应、安全评估、流量分析等服务内容。 托管检测与响应服务（原生版）是一种为客户提供远程交付安全运营能力的服务，该服务通过汇聚云上安全数据，快速检测、分析、发现、响应威胁，云端专家724小时全天候值守，以帮助用户处置突发安全事件，同时，结合安全评估、应急响应等其他可选服务，为用户构建一体化安全防护运营能力。 基础版 为中小型客户提供远程交付的基础安全运营能力，通过汇聚云上安全数据，724小时监测分析云防火墙、EDR等安全产品告警日志和安全事件，监控用户资产安全状况，安全事件及时告知客户并可联动安全产品处置。创新提供产品售后服务专属管家，58值守响应产品售后问题。 如需流量威胁检测，建议增购全流量分析服务。 企业版 基于丰富的公有云运营经验积累，面向公有云租户提供持续的安全监测和全面的保护服务，有效发挥云原生安全能力。依托安全运营工具对租户的云上资产包括：用户主机、Web系统、域名等产生的安全告警事件进行实时监测分析，通过接入云上安全设备日志和告警，进行综合分析研判，协助用户对检测到的各项安全隐患包括且不限于漏洞利用、弱密码、Webshell写入、异常登录、木马回连等安全风险和异常行为进行处置，并通过企业微信、钉钉等方式告知用户。

本文为您介绍轻量型云主机的应用场景。 轻量级应用服务搭建 场景说明 个人或企业用户需要搭建网站或小程序，例如搭建博客、门户网站、微信小程序或公众号后台服务在这些场景下，网站的稳定运行和系统的安全性非常重要。 产品优势 用户无需购买和维护本地物理设备，降低了时间和成本投入。 支持多种套餐按需选择，套餐内容可自定义搭配，满足多种场景需求，同时套餐升级不影响业务正常运行。 提供防火墙规则和监控等服务，确保网站的安全和稳定性。 个人云端环境 场景说明 学生、个人或开发者需要创建即开即用的学习或开发实验环境，以进行学习、开发和测试。 产品优势 价格优惠，提供高性价比的计算、存储和网络资源套餐，适合个人开发者的使用需求。 提供安全可靠系统镜像资源，方便用户快速获取。支持Ubuntu、CentOS等常用 Linux 系统镜像以及Windows系统镜像。 云端环境更加方便和灵活，用户可以即时创建和删除环境，不需要担心硬件维护和管理。 企业服务搭建 场景说明 前端开发过程中不可避免会用到图片、视频等多媒体物料，常见的处理方案通常会进行动静分离，将图片等资源放置在图床上，除了使用业界常用的图床资源，我们也可以使用轻量型云主机为自己搭建一个图床，获得更好的基础服务，提升开发体验及效率。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知联动企业主机安全服务（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 1. 请立即确认登录主机的源IP的可信情况。 2. 请立即修改被暴力破解的系统账户口令。 3. 请立即执行检测入侵风险账户，排查可疑账户并处理。 4. 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 1. 请及时确认登录主机的源IP的可信情况。 2. 请及时登录主机系统，全面排查系统风险。 3. 请根据实际需求升级HSS防护能力。 4. 请根据实际情况加固主机安全组、防火墙配置。

94 [管理平台]DRDS实例支持热变配（升降配），即变更DRDS实例的CPU和内存后无需重启该DRDS实例，确保服务可用性。详见 规格变更。 93 [Giserver]新增GiServr exporter监控采集功能，用于天翼云数据库生命周期管理平台（DCP）监控GiServer节点状态信息。 体验改进 213 [DBProxy]SQL语句中TruncateStatement命令支持异步执行，不再需要等待数据库操作完成即可继续执行后续的命令，提高命令执行效率。 203 新增开发指南，并合入原用户指南中的SQL指南内容。 196 优化执行DDL语句创建表的策略，提升至最多支持批量创建10000张表。详见：库表管理。 180 [管理平台]优化前序版本引入的连续创建多个Schema需要多次刷新页面后新建的操作体验。 175 优化DRDS实例所在宿主机安全组和防火墙策略，该优化对公有云租户端不可见。 167 例行调整配置文件加密密钥，满足等保3级或以上密码策略要求，该调整对公有云租户端不可见。 166 优化购买DBProxy实例的单可用区节点策略，提升至最多配置6个节点。详见：步骤一：购买DRDS实例。

本节介绍翼甲控制台的设置功能。 告警配置 用户可在该界面根据业务需要添加告警规则。 （1）开通短信告警：点击“去开通”，可前往开通短信告警功能； （2）添加规则：点击“添加规则”，可添加新的告警规则，可根据具体业务需求对告警规则进行配置。 （3）删除：在列表首列点选告警规则，点击“批量删除”，可完成对规则的批量删除；在单条规则的最右侧操作列，点击“删除”，可完成对单条规则的删除。 （4）编辑：在已创建告警规则的最右侧操作列，点击“编辑”，可对单条规则的内容配置及启用状态进行编辑。 （5）复制：在已创建规则的最右侧操作列，点击“复制”，将会弹出“复制规则”确认框，用户可基于当前告警规则的字段进行二次编辑，点击确认后可创建规则。 （6）导出：点击“导出”，可导出告警规则信息的JSON文件。 （7）导入：将告警规则以JSON文件的格式编辑好后（可参照导出文件的模板），点击“导入”即可完成规则批量导入。 版本升级 在版本升级界面，用户可根据业务需求对防火墙、入侵防御特征库、病毒防护特征库、URL分类库等4个领域的内容，自定义配置自动升级规则及升级时间。

参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 区域与默认迁移参数模板设置的区域相同，您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目。 虚拟私有云 选择“迁移时创建”是指在设置目的端时再进行配置。 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 子网 选择“迁移时创建”是指在设置目的端时再进行配置。子网网段与虚拟私有云网段相同。 安全组 选择“迁移时创建”是指在设置目的端时再进行配置。 Windows系统开放8899端口、8900端口和22端口。 Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 可用区 默认随机分配，也可手动选择。 数据盘 包括普通IO、高IO、超高IO可选。

本章节介绍天翼云边缘重保服务的常见通用类问题。 如何获得天翼云边缘重保服务？ 请联系专属客户经理提交服务开通申请，或者拨打天翼云客服电话4008109889进行订购，天翼云将根据您在天翼云上的产品及业务类型进行审核确认。 天翼云边缘重保服务具体针对哪些产品提供服务？ 天翼云边缘重保服务目前覆盖的产品范围为：CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云，不同服务版本可支持产品差异详见服务版本差异一览表。 天翼云边缘重保服务目前提供哪些服务版本？不同服务版本之间有何差异？ 天翼云边缘重保服务提供体验版、基础护航服务、尊享护航服务、安全护航服务、尊享安全护航服务五个服务版本，不同版本差异详见服务版本差异一览表。 若某场需要重保的活动中，同时使用了边缘安全加速平台和视频直播产品，是否需要重复订购不同版本的边缘重保服务？ 无需重复订购， 每一个服务版本均可支持其所覆盖范围中的一款或多款产品，请根据实际保障方式和需要保障的产品列表按需选择对应版本进行订购即可。

本节介绍如何批量添加防护规则。 前提条件 已添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在页面左上角，单击“所有策略规则”。 步骤6 在待配置规则列表的左上角，单击“批量添加”，进入对应的规则配置页面。 步骤7 选择策略名称，在“策略名称”的下拉框中选择策略名，可批量多选，如图所示。 步骤8 完成除“策略名称”以外其它参数的配置。 “CC攻击防护”请参见配置CC攻击防护规则进行参数配置。 “精准访问防护”请参见配置精准访问防护规则进行参数配置。 “黑白名单设置”请参见配置IP黑白名单规则进行参数配置。 “地理位置访问控制”请参见配置地理位置访问控制规则进行参数配置。 “网页防篡改”请参见配置网页防篡改规则进行参数配置。 “防敏感信息泄露”请参见配置防敏感信息泄露规则进行参数配置。 “全局白名单”请参见配置全局白名单（原误报屏蔽）规则进行参数配置。 “隐私屏蔽”请参见配置隐私屏蔽规则进行参数配置。 步骤9 单击“确认”，批量添加防护规则成功。

本文介绍如何开启全量日志。 启用WAF全量日志功能后，您可以将攻击日志、访问日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天，存储时间可以在1～30天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）或者数据接入服务（DIS）中长期保存。 前提条件 已申请WAF。 已添加防护网站。 系统影响 开启全量日志功能是将WAF日志记录到LTS，不影响WAF性能。 将防护日志配置到LTS 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航栏，选择“防护事件”，进入“防护事件”页面。 5. 选择“全量日志”页签，开启全量日志，并选择日志组和日志流。 配置全量日志： 全量日志配置参数： 参数 参数说明 取值样例 选择日志组 选择已创建的日志组。 ltsgroupwaf 记录攻击日志 选择已创建的日志流。 攻击日志记录每一个攻击告警信息，包括攻击事件类型、防护动作、攻击源IP等信息。 ltstopicwafattack 记录访问日志 选择已创建的日志流。 访问日志记录每一个HTTP访问的关键信息，包括访问时间、访问客户端IP、访问资源URL等信息。 ltstopicwafaccess 6. 单击“确定”，全量日志配置成功。您可以在LTS管理控制台查看WAF的防护日志。

本节介绍如何查看WAF独享型实例的详细信息。 您可以在产品信息页面查看已购买实例的详细信息，包括实例基本信息、实例节点的健康状态。 前提条件 已购买WAF独享型实例。 查看独享版实例详情 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理独享引擎”，单击目标实例操作列的“查看实例详情”。 5. 在实例详情页面，可以查看实例信息、接入端口，以及实例节点信息。 实例信息 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 修改实例名称： 1. 在实例详情页面，单击实例名称右侧的图标。 2. 修改实例名称后，单击“保存”，完成修改。 实例ID 实例的ID。 节点个数 当前实例的节点个数。 运行状态 当前实例的运行状态，包括正常、异常、离线。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 资源池 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 产品版本 实例的规格，单机版或集群版。 实例IPv4 单机版：显示单机节点本身内网IPv4地址。 集群版：显示集群VIP的IPv4地址。 单击“新增辅助网卡”，可以为实例新增网卡，详细操作请参见[新增辅助网卡](

本文为您介绍如何查看Web核心防护中包含的内置规则详情。 您可以在全局Web核心防护的防护规则页面，查询规则防护引擎中目前包含的所有防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组”页面，在页面上方选择“规则库”可以看到当前的规则引擎包含的规则列表。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 注意 以CNAME方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改，详细操作请参见修改域名DNS。 域名接入时，WAF回源是否需要放行所有客户端IP？ 根据您的业务情况，您可以只放行WAF回源IP段，也可以放行所有客户端IP。 对于Web业务，建议您只放行WAF回源IP，实现源站保护。详细操作请参见放行WAF回源IP段。 对于客户端IP，如果有白名单需要，建议您通过WAF白名单配置进行放行，不建议直接放行所有客户端IP。 说明 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。

本文介绍Web应用防火墙（边缘云版）在CC攻击常见场景推荐的防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置操作请参考：设置客户端IP访问域名首页次数限制。 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每5秒5000次时，则会开启CC攻击防护。更多CC防护配置请参考：设置CC防护配置。

高负载处理和负载均衡 业务挑战：热门活动、新闻爆发等可能导致突发的高流量，需要确保网站和应用程序的高可用性。 方案优势：AOne的负载均衡和智能路由技术可以分配流量到最优的服务器，确保网站和应用在高流量情况下仍然保持稳定运行。 内容安全与防护 业务挑战：传媒行业网站可能受到DDoS攻击、恶意流量和数据泄露的威胁，需要保护内容和用户数据的安全。 方案优势：AOne提供强大的安全防护，如DDoS防护、Web应用防火墙等，确保内容和用户数据免受攻击，维护平台的安全性。 用户数据保护场景 业务挑战：传媒公司需要确保用户的个人数据和隐私受到保护，以满足隐私合规要求。 方案优势：AOne提供数据加密和安全传输，帮助传媒公司保护用户数据的隐私，遵循隐私法规和合规性要求。 客户收益 优化用户体验：通过加速内容传递和减少加载时间，用户能够更快速地访问和消费媒体内容，提升用户体验，降低因加载缓慢导致的用户流失率。 强化内容安全：通过AOne的安全防护功能，客户可以保护内容免受恶意攻击、盗链和数据泄露的威胁，提升内容的安全性。 灵活应对高并发：通过弹性扩展和负载均衡技术，自动调整系统资源，确保平台的稳定性和可用性。 接入便捷成本可控：SaaS化服务无需改变源站架构，一站式操作平台界面清晰操作简单，功能按需计费降低运营成本。

本文介绍用户如何自定义数据源。 数据源是获取需要展示的日志/告警字段条件数据，配置后可在报表中选择并通过图表的形式展示。 数据源来源： 用户自定义 内置数据源 包括防火墙事件数据源、Windows审计数据源、Linux审计数据源、天翼云堡垒机审计数据源、网络设备数据源、应用服务器数据源、恶意程序数据源、审计事件数据源、攻击事件数据源。 新增数据源 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 数据源”，进入“数据源”页面。 3. 单击“新增”，并填写新增数据源的相关参数。 参数 参数说明 取值样例 数据源名称 自定义需要创建的数据源名称。 Test 是否抽样统计 确认是否使用抽样统计，默认否。 统计时间间隔 选择该数据源的统计的时间间隔，可选择“分钟”、“小时”或“天”为基础单位。 12小时 数据存放时间 选择数据生成后，在服务中存放的时间，以“天”为基础单位。 7天 数据源描述 自定义数据源的描述内容。 字段类型 选择数据源采集的字段类型，可选“告警类型”或“事件类型”。 告警类型 过滤条件 选择字段条件，多个字段条件通过逻辑关系符关联。 统计字段 选择需要进行统计的字段，可新增多个统计字段，至少新增一个。 分组字段 选择合适的分组字段，已选统计字段不可再次选择，可新增多个分组字段。 4. 填写完成后，单击“确定”，完成数据源新建。 注意 数据源添加完成，每天凌晨3点定时跑任务，获取前一天符合条件的数据。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

本章节主要向您介绍VPN连接的产品功能。 VPN连接（Virtual Private Network Connection，以下简称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，以下简称VPC）之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时，您可以通过VPN连通VPC。 默认情况下，在虚拟私有云（VPC）中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。 经典版VPN 经典版VPN采用硬件防火墙作为网关，所有租户共享IPSec隧道资源；一个租户业务触发故障将会影响其他租户业务。 企业版VPN 企业版VPN采用虚拟网关软件作为网关，VPN网关由租户独占，不与其他租户共享，带宽、连接数可保障；一个租户网关故障时，不会影响其他租户网关。 VPN关联ER 传统方式下，本地数据中心同时对接不同VPC时，VPN侧需要配置多条VPN连接，分别对应到不同VPC。 使用VPN关联ER（Enterprise Router，企业路由器）功能后，VPN只需要对接到ER，VPC之间的网络路由通信均由ER实现，从而简化网络配置。

本章节主要介绍数据仓库服务的权限管理。 如果您需要对云上的DWS资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云帐号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DWS的使用权限，但是不希望他们拥有删除集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DWS，但是不允许删除集群的权限，控制他们对DWS资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DWS服务的其它功能。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证用户指南中的“产品介绍”。 DWS权限 默认情况下，IAM管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DWS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DWS时，需要先切换至授权区域。 角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DWS服务，IAM管理员能够控制IAM用户仅能对某一类资源进行指定的管理操作。 如下表所示，包括了DWS的所有系统权限。 DWS系统权限 系统角色/策略名称 描述 类别 依赖关系 DWS ReadOnlyAccess 数据仓库服务只读权限，拥有该权限的用户仅能查看数据仓库服务资源。 系统策略 无 DWS FullAccess 数据仓库服务数据库管理员权限，拥有数据仓库服务所有权限。 系统策略 无 DWS Administrator DWS数据库管理员权限，拥有对数据仓库服务的所有执行权限。 拥有VPC Administrator权限的DWS用户可以创建VPC或子网。 拥有云监控Administrator权限的DWS用户，可以查看DWS集群的监控指标信息。 系统角色 依赖Tenant Guest和Server Administrator策略，需要在同项目中勾选依赖的策略。 DWS Database Access DWS数据库访问权限，拥有该权限的用户，可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。 系统角色 依赖DWS Administrator，需要在同项目中勾选依赖的策略。 下表列出了DWS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统策略。 说明 每个区域的每个项目首次使用弹性IP绑定功能时，系统将提示创建名称为“DWSAccessVPC”委托以授权DWS访问VPC。授权成功后，DWS可以在绑定弹性IP的虚拟机故障时切换至健康虚拟机。 在实际业务中，除了具备策略权限外还需要给不同角色的用户授予不同的资源操作权限。例如创建快照、重启集群等操作，详情请参见《数据仓库服务用户操作指南》中“策略语法：细粒度策略”章节。 默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，在使用弹性IP绑定功能时页面会屏蔽绑定按钮，此时需联系有“DWS Administrator”权限的用户在当前页面完成对DWS的委托授权。 DWS常用操作与系统权限的关系 操作 DWS FullAccess DWS ReadOnlyAccess DWS Administrator DWS Database Access 创建/恢复集群 √ x √ x 获取集群列表 √ √ √ x 获取单个集群详情 √ √ √ x 设置自动快照 √ x √ x 设置安全参数/参数组 √ x √ x 重启集群 √ x √ x 扩容集群 √ x √ x 重置密码 √ x √ x 删除集群 √ x √ x 设置可维护时间段 √ x √ x 绑定EIP x x √ x 解绑EIP x x √ x 创建DNS域名 √ x √ x 释放DNS域名 √ x √ x 修改DNS域名 √ x √ x 创建MRS连接 √ x √ x 更新MRS连接 √ x √ x 删除MRS连接 √ x √ x 添加/删除标签 √ x √ x 编辑标签 √ x √ x 创建快照 √ x √ x 获取快照列表 √ √ √ √ 删除快照 √ x √ x 复制快照 √ x √ x

概述 云原生网关的API管理集中控制API的路由、流量和安全。用户可以配置API路由规则、请求处理、认证授权等功能，确保高效、安全的访问。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 创建API API的创建过程分为四个步骤： 1、基本信息 分组：API所属的分组，创建后不可修改。 API名称：可填写API的业务含义。 安全认证：选择API的安全认证方式，开启应用授权后，只有授权的应用才能访问该API。 防重放攻击：开启后，请求头必须包含xcatimestamp和xcanonce参数。 2、定义API请求 请求路径（Path）：API的访问路径。如果分组设置了BasePath，API的最终访问路径将为BasePath+Path。创建后不可修改。 请求方法（HTTP Method）：指定API的请求方式。创建后不可修改。 入参请求模式：支持三种模式，入参映射（过滤未知参数）、入参映射（透传未知参数）、入参透传。 入参定义：支持在query、header、path中定义参数。如果在path中定义了参数，必须确保该参数包含在Path中。 3、定义后端服务 后端服务：负责处理请求的后端服务。 后端请求路径（Path）：网关转发请求到后端服务的路径。如果在Path中定义了参数，后端请求路径中必须包含相应参数。 请求方法（HTTP Method）：指定请求后端服务的方式。 后端超时：设置请求后端服务的超时时间。 后端服务参数配置：将请求的入参与后端服务的入参一一对应，支持修改请求参数名。 常量参数：可以添加常量参数，并透传到后端服务。 系统参数配置：支持添加系统参数，并透传到后端服务。 4、定义返回结果 这里设置的API返回结果，仅用于生产文档，不会对API的请求、响应产生影响。