本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

$ % ^ & ( ) + [ ] { } ; : , . / ?), and must not contain any of the following: 3 consecutive repeating characters, 3 consecutive or inreverse order of numbers or letters (caseinsensitive) , 3 consecutive or inreverse order of keyboard sequences (caseinsensitive). 新密码不符合规则。长度范围8~16，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符 (~ ! @ $ % ^ & ( ) + [ ] { } ; : , . / ?)，区分大小写。不能包含：3个连续重复的字符，3个连续或反序的数字、或字母（不区分大小写），3个连续或反序的键盘序列（不区分大小写）。 400 InvalidNodeName Value value at 'node name' failed to satisfy constraint: Argument must contain only letters, digits, dots (.), underscores () or hyphens (), and does not exceed 63 characters, must begin with a letter or digit. 节点名称不正确。长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: the first node type must be root. 节点类型的包含关系错误，第一个节点必须是root。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: childNodes of room are limited to [rack, server], childNodes of rack to [server], childNodes of server to [path] only. 节点类型的包含关系错误。room的节点仅限于rack、server，机架的子节点是server，server的子节点是path。 400 InsufficientPath The base storage pool must have at least one disk path. 基础存储池至少要有一个数据目录。 400 InvalidPort Value valueat 'argument' failed to satisfy constraint: Argument must have value between 1 and 65535. Port的取值必须在[1, 65535]之间。 400 InvalidPortRange Value value at 'port range' failed to satisfy constraint: Argument must satisfy pattern 'port1port2', where port1, port2 are positive integers between 1 and 65535, port1 is less than port2. 参数必须是“port1port2”格式，port1和port2必须是介于[1,65535]之间的正整数，且port1小于port2。 400 InvalidPublicNetwork Value publicNetwork at 'public network' failed to satisfy constraint: Argument must satisfy CIDR specifications. 业务网格式错误。 400 InvalidServers The current server is not in the servers list. 当前服务器不在servers列表内。 400 InvalidServersCount The number of servers for xx service shoule be value. XX服务的服务器数量应该为value台。 400 InvalidStorName Value 'value' at 'argument' failed to satisfy constraint: Argument can only contain letters, digits, hyphens () or underscores (), and does not exceed 64 characters, must begin with a letter or digit. HBlock名称不合法。 400 InvalidTopologyContent The content of the topology is not compliant. 拓扑文件内容解析错误。 400 MissingClusterNetwork Value null at 'cluster network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，集群网不能为空。 400 MissingPublicNetwork Value null at 'public network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，业务网不能为空。 400 NotInterfaceIP The IP IP is not an interface IP address, check and retry. IP地址不是服务器的接口IP，请修改并重试。 400 ProductTypeDoesNotMatch HBlock product type does not match. 产品类型不一致。 400 ServerAlreadyInitialized The server has been initialized. 服务器已初始化。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 TooFewServers The number of servers must be greater than or equal to 3. 服务器必须大于等于3台。 400 UnrecognizedServer Value IP at 'argument' failed to satisfy constraint: Argument must be in the setup server list. 服务器IP不在初始化服务器列表内。 400 VersionDoesNotMatch Please replace the HBlock version of server serverIP [,serverIP...] to clutserVersion, then try again. 版本号不一致。 403 InvalidUserName Invalid user name. 用户名不正确。 403 InvalidUserNameOrPassword Invalid user name or password hash. 用户名或密码不正确。 409 PortChanged Initialization failed because the port on the server serverIP is currently used by another service during the initialization process. Please try again. 端口在初始化过程中被其他服务占用，请重试。 409 PortConflict The following port is/ports are in use. serverID/IP/local server: portname port[, portname port...] [ serverID/IP/local server: portname port[, portname port...]...] 端口冲突。 500 InitializeServerFailed Server serverIP initialization failed, please check the firewall, network, memory, diskpath, etc, or contact technical team for support. 服务器初始化失败，请检查防火墙、网络、内存、数据目录等设置，或联系技术团队进行支持。

参数 是否必选 参数说明 名称 是 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 最大实例数（台） 是 伸缩组内包含的实例数量的最大值，伸缩组内执行的任何伸缩活动结果不得大于最大实例数。 若您修改了伸缩组的最大实例数使得伸缩组的当前实例数大于最大实例数，弹性伸缩服务会自动移出实例，保证伸缩组的当前实例数等于最大实例数。 最小实例数（台） 是 伸缩组内包含的实例数量的最小值，伸缩组内执行的任何伸缩活动结果不得小于最小实例数。 若您修改了伸缩组的最小实例数使得伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，保证伸缩组的当前实例数等于伸缩最小实例数。 开启期望实例数 否 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 虚拟私有云 是 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 网卡 是 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 多可用区扩容策略 是 多可用区资源池伸缩组需指定扩容策略。 均衡策略：在伸缩组绑定的伸缩配置关联多个可用区时生效，支持在多个可用区之间均衡分布云主机实例。 优先级策略：伸缩组绑定的伸缩配置先选择的可用区优先级高。弹性伸缩优先在优先级最高的可用区尝试伸缩活动。若无法扩进行伸缩活动，则自动在优先级次之的可用区进行。 添加已有云主机实例 否 伸缩组创建完成后，支持将符合条件的已有云主机实例移入伸缩组，作为初始化实例，最大可选择添加10个实例。添加已有的云主机实例数量受到最小、最大、期望实例数限制。 安全组 是 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 负载均衡 否 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。 注意：一个伸缩组可最多关联10个负载均衡监听器。 实例移除策略 是 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 实例回收模式 是 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 健康检查方式 是 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、错误等人为或非人为状态都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 健康检查间隔 是 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 企业项目 是 支持为伸缩组选择企业项目。

参数 是否必选 参数说明 名称 是 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 最大实例数（台） 是 伸缩组中弹性云主机实例个数的最大值。当伸缩组的当前实例数大于最大实例数时，弹性伸缩服务会自动移出实例，使得伸缩组的当前实例数等于伸缩最大实例数。理论上实际实例数不允许大于最大实例数。 最小实例数（台） 是 伸缩组中弹性云主机实例个数的最小值。当伸缩组的当前实例数小于最小实例数时，弹性伸缩服务会自动添加实例，使得伸缩组的当前实例数等于最小实例数。理论上实际实例数不允许小于最小实例数。 开启期望实例数 否 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 虚拟私有云 是 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 网卡 是 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 多可用区扩容策略 是 多可用区资源池伸缩组需指定扩容策略。 均衡策略：在伸缩组绑定的伸缩配置关联多个可用区时生效，支持在多个可用区之间均衡分布云主机实例。 优先级策略：伸缩组绑定的伸缩配置先选择的可用区优先级高。弹性伸缩优先在优先级最高的可用区尝试伸缩活动。若无法扩进行伸缩活动，则自动在优先级次之的可用区进行。 添加已有云主机实例 否 伸缩组创建完成后，支持将符合条件的已有云主机实例移入伸缩组，作为初始化实例，最大可选择添加10个实例。添加已有的云主机实例数量受到最小、最大、期望实例数限制。 安全组 是 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 负载均衡 否 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。注意：一个伸缩组可最多添加10组负载均衡监听器。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 实例移除策略 是 在对伸缩组进行自动缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置且较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置且较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例（FIFO）：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例（LIFO）：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 实例回收模式 是 指伸缩组自动创建的实例被移出后的处理策略。释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机实例，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 健康检查方式 是 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、删除都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 健康检查间隔 是 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时）。 企业项目 是 支持为伸缩组选择企业项目。 标签 否 为伸缩组添加标签便于搜索和资源管理。一个伸缩组最多可绑定10组标签键和值。

本节介绍了配置安全组规则的操作场景、操作步骤、结果验证。 操作场景 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 入方向：入方向规则放通入方向网络流量，指从外部访问安全组规则下的云主机。 出方向：出方向规则放通出方向网络流量。指安全组规则下的云主机访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“安全组”页签，展开安全组，查看安全组规则。 6. 单击安全组ID。系统自动跳转至安全组页面。 7. 在入方向规则页签，单击“添加规则”，添加入方向规则。 单击“+”可以依次增加多条入方向规则。 添加入方向规则 入方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 若源地址为安全组，则选定安全组内的云主机都遵从当前所创建的规则。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 8. 在出方向规则页签，单击“添加规则”，添加出方向规则。 单击“+”可以依次增加多条出方向规则。 添加出方向规则 表 出方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 允许：允许安全组内的服务器按照该出方向规则进行出网访问 拒绝：拒绝安全组内的服务器按照该出方向规则进行出网访问。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 目的地址 目的地址：可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 9.单击“确定”，完成安全组规则配置。

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

使用场景 业务正常请求被WAF拦截。例如，您在ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志。 6. 在“防护事件列表”中，根据实际情况对防护事件进行处理。 确认事件为误报，在目标防护事件所在行的“操作”列，单击“事件处理 > 误报处理”，添加误报处理策略。 添加误报屏蔽策略，参数说明如表所示： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则：配置Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 将源IP添加到地址组。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加到地址组”，添加成功后将根据该地址组所应用的防护策略进行拦截或放行。“添加方式”可选择已有地址组或者新建地址组。 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加至黑白名单”，添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。 参数说明见下表： 参数 参数说明 添加方式 选择已有规则 新建规则 规则名称 添加方式选择“选择已有规则”时，在下拉框中选择规则名称。 添加方式选择“新建规则”时，自定义黑白名单规则的名字。 IP/IP段或地址组 添加方式选择“新建规则”时，需要配置此参数。 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 地址组名称 “IP/IP段或地址组”选择“地址组”时，需要配置此参数。 在下拉列表框中选择已添加的地址组。 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 规则描述 可选参数，设置该规则的备注信息。

本章节主要介绍数据治理中心的配置HDFS连接功能。 目前CDM支持连接的HDFS数据源有以下几种： MRS HDFS FusionInsight HDFS Apache HDFS MRS HDFS 连接MRS上的HDFS数据源时，相关参数详见表MRS上的HDFS连接参数。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HDFS连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshdfslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE 运行模式 选择HDFS连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 Agent：连接实例运行在Agent上。 若不使用AGENT运行模式，且在一个CDM中同时连接两个及以上开启Kerberos认证且realm相同的集群，只能使用EMBEDDED运行模式连接其中一个集群，其余需使用STANDALONE。 STANDALONE Agent 单击“选择”，选择连接Agent中已创建的Agent。运行模式选择Agent时显示此参数。 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hdfs01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

本文主要简述如何通过控制台添加服务域名。 前提条件 已经订购WAF服务，并且套餐支持的域名数量未超过限制。 域名需要完成ICP备案，才可以接入WAF。 操作步骤说明 1、登录Web应用防火墙（边缘云版）控制台，选择【域名管理】【域名列表】，您可以在该页面查看已添加的域名信息，包括域名、CNAME、状态、创建时间、开启/关闭IPv6访问。单击左上角【新增域名】。 2、您需要填写网站信息、网站安全配置。 在网站信息页面，您需要完成基本信息、源站设置、Https配置及证书上传等，单击【下一步】。 配置项说明： 配置项 说明 域名 填写需要接入WAF的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn1）。域名需要完成ICP备案并且域名需要进行域名归属权校验。 源站 支持IP或域名，支持配置多个源站地址。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购基础版以上版本，通过提交工单，由天翼云客服人工配置。 请求协议 支持选择HTTP和HTTPS，如果是HTTPS协议，需要上传HTTPS证书。添加证书页面如下： 服务端口 http协议默认服务端口为80，https协议默认服务端口为443，专业版和旗舰版支持配置服务特殊端口。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。自定义配置时，请确保您的源站有配置相应的HOST。 HTTP回源端口 当源站同时服务多个站点，且回源站点与服务域名不同时，您需要配置回源HOST，天翼云WAF产品在回源时会根据配置的回源HOST信息去访问对应站点。源站和回源HOST的区别： 源站：指您的业务所部署的服务器地址，回源时会访问该服务器地址获取资源。 回源HOST：指全站加速回源请求头携带的回源HOST信息，回源请求会访问回源HOST对应的具体站点。注意事项： 对于普通域名（精准域名），回源HOST默认为加速域名。 对于泛域名，回源HOST默认为实际访问的子域名。例如，泛域名是 .ctyunexample.com1，如果通过example.ctyunexample.com1访问时，回源HOST即为example.ctyunexample.com1。 跟随请求端口回源 如果跟随请求端口回源开关开启，则使用请求服务端口回源。 配置项 说明 3、填写完网站信息，您需要填写网站安全配置。 在网站安全配置页面，您可以根据您实际的业务情况选择问题答案，如果您不想选择，也可以选择单击【跳过】，系统将会默认为您域名开启监控模式。 配置项说明： 配置项 说明 网站防护模式 您可以设置域名全局防护模式。 拦截：仅当防护模式为拦截时，处理动作拦截才能生效。 告警：若防护模式为告警，处理动作拦截会采用告警处理。 漏洞防护配置 天翼云WAF内置多种规则引擎模板，您可以根据您业务情况选择合适的模板。 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注。 填写完安全配置后，单击【提交】，出现添加完成页面。 4、完成新增域名操作后，可通过【域名列表】查看该域名配置是否完成，通过域名的状态字段判断： 当域名状态为“配置中”时，表示域名配置没有完成，正在配置流转中。 当域名状态为“已启用”时，表示域名配置已经完成，您可以通过域名列表获取CNAME，需要将指定域名的DNS解析指向我们提供的CNAME，以确保访问请求能够转发到边缘云节点上，操作步骤参考配置CNAME。 如果您需要需要设置回源白名单，请参考设置回源白名单

协议头字段名 说明 Accept 能够接受的回应内容类型（ContentTypes）。 AcceptCharset 能够接受的字符集。 AcceptDatetime 能够接受的按照时间来表示的版本。 AcceptEncoding 能够接受的编码方式列表。 AcceptLanguage 能够接受的回应内容的自然语言列表。 Authorization 用于超文本传输协议认证的认证信息。 CacheControl 用来指定在这次的请求/响应链中的所有缓存机制都必须遵守的指令。 Connection 该浏览器想要优先使用的连接类型。 ContentLength 以八位字节数组（8位的字节）表示的请求体的长度。 ContentMD5 请求体的内容的二进制MD5散列值，以 Base64 编码的结果。 ContentType 请求体的多媒体类型（用于POST和PUT请求中）。 Cookie 之前由服务器通过Set Cookie 发送的一个超文本传输协议Cookie。 Date 发送该消息的日期和时间。 Expect 表明客户端要求服务器做出特定的行为。 From 发起此请求的用户的邮件地址。 Host 服务器的域名(用于虚拟主机 )，以及服务器所监听的传输控制协议端口号。如果所请求的端口是对应的服务的标准端口，则端口号可被省略。自超文件传输协议版本1.1（HTTP/1.1）开始便是必需字段， 在本服务中如果URL中填写的域名为IP地址会自动添加该字段，否则请将被测应用的IP与端口信息填写在该字段 。 IfMatch 仅当客户端提供的实体与服务器上对应的实体相匹配时，才进行对应的操作。主要作用是，用作像PUT 这样的方法中，仅当从用户上次更新某个资源以来，该资源未被修改的情况下，才更新该资源。 IfModifiedSince 允许在对应的内容未被修改的情况下返回304未修改（ 304 Not Modified ）。 IfNoneMatch 允许在对应的内容未被修改的情况下返回304未修改（ 304 Not Modified ），参考超文本传输协议的实体标记。在典型用法中，当一个URL被请求，Web服务器会返回资源和其相应的ETag值，它会被放置在HTTP的“ETag”字段中，然后，客户端可以决定是否缓存这个资源和它的ETag。以后，如果客户端想再次请求相同的URL，将会发送一个包含已保存的ETag和“IfNoneMatch”字段的请求。 IfRange 如果该实体未被修改过，则向发送方发送其所缺少的那一个或多个部分；否则，发送整个新的实体。 IfUnmodifiedSince 仅当该实体自某个特定时间以来未被修改的情况下，才发送回应。 MaxForwards 限制该消息可被代理及网关转发的次数。 Origin 发起一个针对跨来源资源共享的请求（要求服务器在回应中加入一个‘访问控制允许来源’（'AccessControlAllowOrigin'）字段）。 Pragma 与具体的实现相关，这些字段可能在请求/回应链中的任何时候产生多种效果。 ProxyAuthorization 用来向代理进行认证的认证信息。 Range 仅请求某个实体的一部分。字节偏移以0开始。 Referer 表示浏览器所访问的前一个页面，正是那个页面上的某个链接将浏览器带到了当前所请求的这个页面。 TE 浏览器预期接受的传输编码方式：可使用回应协议头TransferEncoding 字段中的值；另外还可用“trailers”（与“分块”传输方式相关）这个值来表明浏览器希望在最后一个尺寸为0的块之后还接收到一些额外的字段。 Upgrade 要求服务器升级到另一个协议。 UserAgent 浏览器的浏览器身份标识字符串。 Via 向服务器告知，这个请求是由哪些代理发出的。 Warning 一个一般性的警告，告知，在实体内容体中可能存在错误。 XWapProfile 链接到互联网上的一个XML文件，其完整、仔细地描述了正在连接的设备。 XRequestedWith 主要用于标识Ajax及可扩展标记语言请求。大部分的JavaScript框架会发送这个字段，且将其值设置为XMLHttpRequest。 XHttpMethodOverride 请求某个网页应用程序使用该协议头字段中指定的方法（一般是PUT或DELETE）来覆盖掉在请求中所指定的方法（一般是POST）。当某个浏览器或防火墙阻止直接发送PUT 或DELETE 方法时（注意，这可能是因为软件中的某个漏洞，因而需要修复，也可能是因为某个配置选项就是如此要求的，因而不应当设法绕过），可使用这种方式。 XForwardedProto 一个事实标准，用于标识某个超文本传输协议请求最初所使用的协议。 XForwardedHost 一个事实标准，用于识别客户端最初发出的Host请求头部。 XForwardedFor 一个事实标准，用于标识某个通过超文本传输协议代理或负载均衡连接到某个网页服务器的客户端的原始互联网地址。 XCsrfToken 用于防止跨站请求伪造辅助用的头部有XCSRFToken或XXSRFTOKEN XATTDeviceId 使服务器更容易解读AT&T设备UserAgent字段中常见的设备型号、固件信息。 ProxyConnection 该字段源于早期超文本传输协议版本实现中的错误。与标准的连接（Connection）字段的功能完全相同。 FrontEndHttps 被微软的服务器和负载均衡器所使用的非标准头部字段。 DNT 请求某个网页应用程序停止跟踪某个用户。在火狐浏览器中，相当于XDoNotTrack协议头字段（自 Firefox/4.0 Beta 11 版开始支持）。Safari和Internet Explorer 9 也支持这个字段。

本章节主要介绍创建MRS Hive连接器。 MRS Hive连接适用于MapReduce服务，本教程为您介绍如何创建MRS Hive连接器。 前提条件 已创建CDM集群。 已获取MRS集群的Manager IP、管理员账号和密码，且该账号拥有数据导入、导出的操作权限。 MRS集群和CDM集群之间网络互通，网络互通需满足如下条件： −CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 −CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 −此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 新建MRS hive连接 1. 在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 图 选择连接器类型 2. 连接器类型选择“MRS Hive”后单击“下一步”，配置MRS Hive连接的参数，如下图所示。 图 创建MRS Hive连接 3. 单击“显示高级属性”可查看更多可选参数。这里保持默认，必填参数如下表所示。 表 MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 说明 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。 4. 单击“保存”回到连接管理界面，完成MRS Hive连接器的配置。

本章节主要介绍数据治理中心的配置Hive连接功能。 目前CDM支持连接的Hive数据源有以下几种： MRS Hive FusionInsight Hive Apache Hive MRS Hive 用户具有MRS Hive连接的表的访问权限时，才能在字段映射时看到表。 MRS Hive连接适用于云上的MapReduce服务。MRS Hive的连接参数如下表所示。 说明 l 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 l 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 l 由于当前CDM Hive连接是从MRS HDFS组件获取coresite.xml配置信息，所以在MRS侧使用的是Hive over OBS场景时，在创建Hive连接前，需要用户在MRS管理界面的HDFS组件中配置OBS的AK、SK信息。 l 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见 > 添加安全组规则”章节。 l 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对应组件的进行库、表、数据的操作，还需要添加对应组件的用户组权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

介绍Linux主机挂载块存储的最佳实践。 实践背景 块空间使用的是iSCSI协议，因此在新建块空间后需要使用iSCSI客户端来连接块空间。 本实践是在centos 7上，具有免密sudo权限的普通用户使用iSCSI客户端连接天翼云媒体存储块空间，并且对其进行格式化的过程。 操作步骤 1.执行以下命令，安装iSCSI客户端。 sudo yum install y iscsiinitiatorutils sudo yum install y devicemappermultipath 当系统出现如下所示的更新完毕作为依赖被升级完毕的提示时，说明软件安装完成。 若已安装过所需软件，系统会提示对应的软件包已安装并且是最新版本无须任何处理。 2.配置iSCSI多路径，具体步骤如下： （1） 执行以下命令，生成配置文件/etc/multipath.conf。 mpathconf enable withmultipathd y （2）执行以下命令，修改多路径配置。 sudo vi /etc/multipath.conf （3）添加如下内容。 defaults { userfriendlynames yes pathgroupingpolicy failover failback immediate nopathretry fail } devices { device { vendor "LIOORG" hardwarehandler "1 alua" pathgroupingpolicy "failover" pathselector "queuelength 0" failback 60 pathchecker tur prio alua prioargs exclusiveprefbit fastiofailtmo 25 nopathretry queue } device { vendor "CTyun" pathgroupingpolicy "failover" pathselector "queuelength 0" failback 60 pathchecker tur prioargs exclusiveprefbit fastiofailtmo 25 nopathretry queue } } （4）执行以下命令，进行服务重启。 sudo systemctl restart multipathd 3.修改iSCSI Client的InitiatorName，具体步骤如下： （1）运行以下命令。 sudo vi /etc/iscsi/initiatorname.iscsi （2）将InitiatorName（下图红框内内容）修改为创建块空间时填写的CHAP iqn；具体可参考操作步骤【块空间管理】查看所需挂载块空间的CHAP iqn信息（图中的例子为iqn.209901.com.client.cicdtestcy:230323）。 4.修改CHAP权限，具体步骤如下： （1）运行以下命令。 sudo vi /etc/iscsi/iscsid.conf （2）找到以下内容： 修改为下图中内容，其中红框内的username的等号后面填写创建块空间时设定的CHAP用户（图中的例子为testblockzd），password的等号后面填写创建块空间时设定的CHAP密钥（图中的例子为111111111111）。 5.连接块空间，具体步骤如下： （1）为确保连接顺利，先执行 setenforce 0 命令临时禁用防火墙。 （2）执行以下命令，重启相关组件。 sudo systemctl restart iscsid （3）执行以下命令增加iSCSI连接target，具体的targetname参数与portal参见块空间信息中的targetIqn、网关地址与数据端口，具体查看步骤可见操作步骤【块空间管理】。 sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:13260 opnew sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:23260 opnew （4）执行以下命令，进行登入操作。 sudo iscsiadm m node T iqn.201810.com.redhat.iscsigw:iscsiigw l 说明 对于步骤5(3)、5(4)，可直接通过块空间详情复制对应的操作命令，具体界面如图所示： 更多块空间管理操作可参考： （5）若系统出现以下提示表示登录成功。 （6）可通过以下命令查看新增磁盘。 sudo lsscsi sudo fdisk l sudo lsblk sudo multipath l 注意： 执行后会发现除了机器的原有磁盘外，还挂载了三个新的磁盘，一个是以/dev/mapper/开头的磁盘，另外两个是以/dev/sd开头的磁盘，我们挂载的是前者，即是以/dev/mapper/的磁盘。 每次挂载，该磁盘后面的名字都可能不一样。 如果你有多个块空间使用了同一个iqn，每个块在查看磁盘时均会看到一个以/dev/mapper/开头的磁盘以及两个以/dev/sd开头的磁盘，请总是使用以/dev/mapper/开头的磁盘来进行挂载。 （7）根据系统协议执行以下命令，进行磁盘格式化： xfs文件系统： sudo mkfs.xfs /dev/mapper/mpatha ext4文件系统： sudo mkfs.ext4 /dev/mapper/mpatha 注意 ：可以根据实际需求选择命令，将命令中“/dev/mapper/mpatha”部分改为步骤（6）中查找到的新增磁盘地址。 （8）执行以下命令，挂载到本地目录。 sudo mount /dev/mapper/mpatha /mnt/iscsiMnt 注意： mount后第一部分为新增磁盘的实际地址。 mount后第二部分为进行挂载的本地目录地址。 可以通过mount l命令查看是否挂载成功，若显示信息中包含挂载信息则挂载成功，以上样例对应的挂载信息如下，该样例已成功挂载。 （9）执行以下命令，查看已连接的目标。 sudo iscsiadm m session 6.如需断开连接，则执行以下命令。 sudo iscsiadm m node T iqn.201810.com.redhat.iscsigw:iscsiigw u 7.执行以下命令，删除所有记录。 sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:13260 opdelete sudo iscsiadm m node targetnameiqn.201810.com.redhat.iscsigw:iscsiigw portal14.215.109.226:23260 opdelete 说明 对于步骤6、7，可直接通过块空间详情复制对应的操作命令，具体界面如图所示： 更多块空间管理操作可参考：

采集配置 在使用主机接入完成日志接入时，采集配置的具体配置如下： 1. 采集配置名称：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 说明 导入旧版配置：将旧版主机接入配置导入到新版日志接入中。 若是新安装云日志服务的场景，页面没有显示“导入旧版配置”，则表示不需要导入旧版配置，直接新建配置即可。 若是升级云日志服务的场景，页面显示“导入旧版配置”，若需要旧版配置里的主机日志路径，可以选择导入旧版配置，或者直接新建配置。 2. 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 采集路径支持递归路径，表示递归5层目录。 示例：采集路径配置为 /var/logs/ /a.log，日志匹配如下： /var/logs/1/a.log /var/logs/1/2/a.log /var/logs/1/2/3/a.log /var/logs/1/2/3/4/a.log /var/logs/1/2/3/4/5/a.log 说明 以上示例中的/1/2/3/4/5/，表示/var/logs目录中，往里递归的5个目录层级，在这5个目录层级中只要存在a.log，都能进行日志匹配。 采集路径中只能出现一次，不能出现两个及以上。正确示例：/var/logs//a.log；错误示例：/opt/test//log/。 采集路径中第一个层级不允许为（避免误采集系统文件），错误示例：//test。 − 采集路径支持模糊匹配，匹配目录或文件名中的任何字符。 说明 如果配置了C:windowssystem32类似的日志采集路径，但无法采集日志，请尝试打开WAF物理防火墙后重新配置。 示例1：采集路径配置为 /var/logs//a.log，表示/var/logs/目录下，任何一个目录中存在a.log，都能进行日志匹配，例如： /var/logs/1/a.log /var/logs/2/a.log 示例2：采集路径配置为 /var/logs/service/a.log，日志匹配示例： /var/logs/service1/a.log /var/logs/service2/a.log 示例3：采集路径配置为 /var/logs/service/a.log，日志匹配示例： /var/logs/service/a1.log /var/logs/service/a2.log − 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件。 如果配置的是文件名，则直接采集对应文件，只支持内容是文本格式的文件。可以通过file i 文件名命令，查询文件格式。 说明 请注意您的敏感信息是否在收集范围内。 目前只支持采集安装在ECS（主机）实例的日志。 日志采集路径不能重复配置，即相同主机的同一个日志采集路径不能重复配置，否则可能会导致日志采集异常。 相同主机的同一个日志采集路径，如果在AOM进行了配置，则不能在LTS重复配置。 配置采集的文件最后修改时间和当前时间差如果已超过12小时，则不会采集。 3. 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 目录和文件名支持完全匹配，也支持模糊匹配，具体可参考路径配置内容进行设置。 说明 当设置的黑名单与配置的采集路径重复或者有重合时，优先过滤掉黑名单设置的文件。 4. 采集Windows事件日志：当选择Windows主机采集日志时，需要开启“采集Windows事件日志”，并且可以设置“日志类型”、“首次采集时间偏移量”、“事件等级”来过滤采集您所需要的日志内容。 5. 日志格式、日志时间具体说明如下： 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：20190101 23:59:59.011，时间通配符应该填写为：YYYYMMDD hh:mm:ss.SSS。 如果日志中的时间格式为：1911 23:59:59.011，时间通配符应该填写为：YYMD hh:mm:ss.SSS。 说明 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写实例 YY year (19) YYYY year (2019) M month (1) MM month (01) D day (1) DD day (01) hh hours (23) mm minutes (59) ss seconds (59) SSS millisecond（999） hpm hours (03PM) h:mmpm hours:minutes (03:04PM) h:mm:sspm hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 说明 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志系统时间模式即可。

告警和事件关系说明 本部分介绍告警和事件的含义、区别，告警转事件的原因和告警关联事件的原因。 告警和事件的含义与区别 类别 告警 事件 定义 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 事件是一个更广泛的概念，可以包括告警，但不限于此。事件可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的更广泛，可以是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 处理流程 告警的处理流程通常包括接收、确认、分析、响应和关闭等步骤。当监控系统发出告警时，运维人员首先需要确认告警的真实性，然后分析告警的原因和影响范围，最后采取相应的措施来解决问题，并关闭告警。 事件的处理流程则更加复杂和全面。除了包含告警处理流程中的各个环节外，事件处理还需要进行事件调查、影响评估、风险分析、制定应急计划、执行应急响应、事后总结等步骤。事件处理的目标是彻底解决问题，防止类似事件再次发生，并减少事件对业务的影响。 重要性与紧急程度 告警一般需要立即评估和响应。 每条告警的紧急程度和重要性各不相同，取决于告警的类型、级别和影响的范围。一些告警可能只是简单的提醒或预警，而另一些告警则可能表示系统已经遭受严重攻击或面临重大故障风险。 事件可能需要记录、分析或在某些情况下采取行动，但不一定需要立即响应。 事件通常比告警具有更高的重要性和紧急程度。因为事件已经发生并产生了实际的影响，需要立即采取措施来应对和解决问题。如果事件得不到及时处理，可能会给组织带来重大的经济损失或声誉损害。 告警转事件或关联事件的原因 告警通常是在系统或服务出现异常或潜在故障时产生的通知。这些异常可能会直接影响业务的正常运行，因此告警需要被及时处理，以防止业务异常。告警通常需要采取相应的措施来清除故障，否则可能会因为这些异常或故障引起业务的异常。 事件则是在系统或服务在正常运行状态下产生的通知，它可能涉及到一些重要的状态变化，但不一定会引起业务异常。因此，事件一般不需要进行处理，主要用于帮助分析、定位问题。 类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

弹性伸缩服务提供以下相关API接口。 类型 描述 伸缩服务开通验证 验证用户是否已开通弹性伸缩服务 伸缩资源配额查询 查询用户的弹性伸缩组、伸缩配置、伸缩策略配额 查询伸缩组 查询伸缩组列表 创建伸缩组 创建一个弹性伸缩组 删除伸缩组 删除一个弹性伸缩组 修改伸缩组 修改一个弹性伸缩组 停用伸缩组 停用一个弹性伸缩组 启用伸缩组 启用一个弹性伸缩组 修改伸缩组最大云主机数 修改伸缩组最大云主机数 修改伸缩组最小云主机数 修改伸缩组最小云主机数 查询负载均衡器 查询伸缩组的负载均衡列表 添加负载均衡器 添加一个或多个负载均衡 删除负载均衡器 删除一个或多个负载均衡实器 修改伸缩组云主机回收方式 修改弹性伸缩组的云主机回收方式 修改伸缩组健康检查方式 修改弹性伸缩组的健康检查方式 修改伸缩组健康检查间隔 修改一个弹性伸缩组的健康检查间隔 检查伸缩组云防火墙 用于检查该账户下，哪些安全组被伸缩配置所使用 检查伸缩组是否可以修改 检查弹性伸缩组是否可以修改 修改弹性伸缩组的一个伸缩配置 修改弹性伸缩组的伸缩配置 修改弹性伸缩组的伸缩配置列表 修改弹性伸缩组的伸缩配置列表 开启伸缩组保护 开启伸缩组保护，不可删除该伸缩组 关闭伸缩组保护 关闭伸缩组保护，可以删除该伸缩组 移入云主机 将一台或多台云主机移入伸缩组 移出云主机 将一台或多台云主机移出伸缩组 移出云主机并释放 将一台或多台云主机移出伸缩组并释放 设置云主机保护 开始保护或者停止保护伸缩组内的一台或者多台云主机 关闭云主机保护 关闭云主机保护 开启云主机保护 开启云主机保护 设置云主机移出规则 设置云主机移出规则 获取伸缩组主机数量监控数据 获取弹性伸缩云主机数量监控数据 查询伸缩组不健康主机 查询伸缩组内不健康云主机信息 查询伸缩组云主机信息 查询伸缩组内云主机的列表，并列出云主机的信息 查询伸缩组云主机可用区分布 查询伸缩组内的云主机的可用区分布 创建伸缩策略 创建一个弹性伸缩策略 删除伸缩策略 删除一条伸缩策略 修改伸缩策略 修改一条伸缩策略 执行伸缩策略 执行一条伸缩策略 创建告警策略 创建一个告警策略 删除告警策略 删除一个告警策略 修改告警策略 修改弹性伸缩告警策略 启用告警策略 启用一个告警策略 停用告警策略 停用一个告警策略 创建周期策略 在伸缩组中创建一个周期策略 创建定时策略 在伸缩组中创建一个定时策略 删除定时策略 删除一个定时策略 修改定时策略 修改一个定时策略 启用伸缩组中指定策略 启用伸缩组中的指定策略 停用伸缩组中指定策略 停用伸缩组中的指定策略 查询伸缩组策略表 查询弹性伸缩组内的策略列表 查询定时策略信息表 查询定时策略信息列表 查询周期策略信息表 查询周期策略信息列表 查询伸缩组告警策略 查询弹性伸缩的告警策略 修改一个周期策略 修改一个周期策略 启用一个周期策略 启用一个周期策略 删除一个周期策略 删除一个周期策略 停用一个周期策略 停用一个周期策略 查询伸缩配置 查询弹性伸缩配置 创建伸缩配置 创建一个弹性伸缩配置 删除伸缩配置 删除一个弹性伸缩配置 修改伸缩配置 修改一个弹性伸缩配置 查询伸缩活动ID 查询伸缩活动ID列表 查询伸缩活动详细信息 根据一个伸缩活动的ID查询一个伸缩活动的详细信息 查询伸缩活动列表 查询伸缩组的伸缩活动，并列出伸缩活动的全部信息

操作事件 字段 资源类型 SSL加密设置 modifyInstanceSSL 分布式缓存服务Redis 下载Redis历史慢日志 downloadHistorySlowLog 分布式缓存服务Redis 下载Redis慢日志 downloadSlowLog 分布式缓存服务Redis 下载Redis运行日志 downloadRedisRunLog 分布式缓存服务Redis 下载SSL证书 downloadSslCert 分布式缓存服务Redis 下载access节点信息 downloadAccessNodeDetails 分布式缓存服务Redis 下载redis节点信息 downloadRedisNodeDetails 分布式缓存服务Redis 下载redis运行日志 downloadRunLog 分布式缓存服务Redis 下载命中率分析信息 downloadKeyMisslog 分布式缓存服务Redis 下载大key、热key信息 downloadTopkeysInfo 分布式缓存服务Redis 下载大key、热key历史报告 downloadTopkeysHistoryInfo 分布式缓存服务Redis 下载实例列表 exportInstances 分布式缓存服务Redis 下载实例配置 downloadRedisConfigs 分布式缓存服务Redis 下载客户端会话列表信息 downloadClientIPinfo 分布式缓存服务Redis 下载证书 downloadCert 分布式缓存服务Redis 为Redis实例创建数据备份 createBackup 分布式缓存服务Redis 为Redis实例删除数据备份 deleteBackup 分布式缓存服务Redis 主从切换 switchInstanceHA 分布式缓存服务Redis 交换IP exchangeIp 分布式缓存服务Redis 从对象存储导入数据 importZosData 分布式缓存服务Redis 修复Aof文件格式 repaireAof 分布式缓存服务Redis 修改Redis实例的自动备份策略 modifyBackupPolicy 分布式缓存服务Redis 修改proxy集群的连接信息 editProxyConnectConfig 分布式缓存服务Redis 修改redis集群中checkBeforeSwitch配置 updateCheckBeforeSwitch 分布式缓存服务Redis 修改top key自动扫描开关 topKeySwitch 分布式缓存服务Redis 修改内网域名 changeRecordName 分布式缓存服务Redis 修改可维护时间段 modifyInstanceMaintainTime 分布式缓存服务Redis 修改实例IP白名单分组 modifySecurityIps 分布式缓存服务Redis 修改实例名 changeInstanceName 分布式缓存服务Redis 修改实例密码 modifyInstancePassword 分布式缓存服务Redis 修改实例的淘汰策略 modifyInstanceStrategy 分布式缓存服务Redis 修改实例账号 changeAccount 分布式缓存服务Redis 修改实例账号密码 modifyAccountPassword 分布式缓存服务Redis 修改实例账号描述 modifyAccountDescription 分布式缓存服务Redis 修改实例账号权限 grantAccountPrivilege 分布式缓存服务Redis 修改实例退订保护开关 changeInstanceProtectionStatus 分布式缓存服务Redis 修改实例部分信息 modifyInstanceAttribute 分布式缓存服务Redis 修改接入机配置 batchEditAccessConfig 分布式缓存服务Redis 修改数据备份磁盘类型 changeBackupDisktype 分布式缓存服务Redis 修改数据闪回开关 dataflashBackSwitch 分布式缓存服务Redis 修改自定义参数模板 editRedisTemplate 分布式缓存服务Redis 修改配置参数 modifyInstanceConf 分布式缓存服务Redis 修改配置参数 modifyInstanceConfig 分布式缓存服务Redis 修改配置参数 ModifyInstanceConfig 分布式缓存服务Redis 停止Redis节点 stopRedisNode 分布式缓存服务Redis 停止redis实例 stopRedis 分布式缓存服务Redis 停止对象存储导入任务 stopImportZosDataTask 分布式缓存服务Redis 停止数据迁移任务 stopTransferTask 分布式缓存服务Redis 关闭危险命令重命名 disableRenameCommand 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanJob 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanExpiredKeysJob 分布式缓存服务Redis 关闭弹性伸缩 closeAutoScale 分布式缓存服务Redis 创建实例 createInstance 分布式缓存服务Redis 创建实例账号 createAccount 分布式缓存服务Redis 创建数据传输任务 createOpenApiTransferTask 分布式缓存服务Redis 创建数据迁移任务 createTransferTask 分布式缓存服务Redis 创建自定义参数模板 createRedisTemplate 分布式缓存服务Redis 删除任务中心记录 delTasks 分布式缓存服务Redis 删除公共对象存储配置 delCommonS3Info 分布式缓存服务Redis 删除内网域名 deleteDnsRecord 分布式缓存服务Redis 删除分组 removeGroup 分布式缓存服务Redis 删除分组 deleteDbGroup 分布式缓存服务Redis 删除分组数据 removeGroupData 分布式缓存服务Redis 删除实例账号 deleteAccount 分布式缓存服务Redis 删除对象存储导入任务 delImportZosDataTask 分布式缓存服务Redis 删除指定会话 killSelectedClient 分布式缓存服务Redis 删除数据迁移任务 deleteTransferTask 分布式缓存服务Redis 删除白名单 deleteWhiteListItem 分布式缓存服务Redis 删除自定义参数模板 deleteRedisTemplate 分布式缓存服务Redis 包周期转按需付费 transToPrePaid 分布式缓存服务Redis 升级实例代理版本 upgradeInstanceProxyMinorVersion 分布式缓存服务Redis 升级引擎大版本 modifyInstanceMajorVersion 分布式缓存服务Redis 升级引擎小版本 upgradeInstanceMinorVersion 分布式缓存服务Redis 变更公共对象存储配置 updateCommonS3Info 分布式缓存服务Redis 变更实例AZ modifyInstanceAz 分布式缓存服务Redis 变更实例的规格 modifyInstanceSpec 分布式缓存服务Redis 同步redis主从实例数据 syncInstanceData 分布式缓存服务Redis 启动redis实例 startRedis 分布式缓存服务Redis 命令窗口批量执行命令 executeCommands 分布式缓存服务Redis 实例克隆 cloneInstance 分布式缓存服务Redis 实例开启IPV6 enableInstanceIpv6 分布式缓存服务Redis 实例续费 renewInstance 分布式缓存服务Redis 实例过期key扫描配置 autoScanExpiredKeys 分布式缓存服务Redis 实例重启 restartInstance 分布式缓存服务Redis 对实例的扩容/缩容/类型变更操作进行限制或者解限 modifyInstanceFeature 分布式缓存服务Redis 导入实例元数据 metaDataImport 分布式缓存服务Redis 导出实例节点信息 downloadInstanceNodesInfo 分布式缓存服务Redis 导出操作审计事件 exportAuditEvent 分布式缓存服务Redis 将备份文件中的数据恢复到当前Redis实例中 restoreInstance 分布式缓存服务Redis 应用参数模板到对应实例 applyTemplateToInstance 分布式缓存服务Redis 应用数据管理删除key deleteKey 分布式缓存服务Redis 应用数据管理删除value接口，针对List，Hash，Set，Sorted Set等集合类型。 deleteValue 分布式缓存服务Redis 应用数据管理更新key接口，针对Hash集合类型。 updateKey 分布式缓存服务Redis 应用数据管理更新value接口，针对List，Hash，Set，Sorted Set等集合类型。 updateValue 分布式缓存服务Redis 应用数据管理添加value接口，针对List，Hash，Set，Sorted Set等集合类型。 addValue 分布式缓存服务Redis 开启redis模块 redisModulesSwitch 分布式缓存服务Redis 开启内网域名 enableDnsRecord 分布式缓存服务Redis 开启危险命令重命名 enableRenameCommand 分布式缓存服务Redis 开启弹性伸缩 openAutoScale 分布式缓存服务Redis 开启或关闭rdb加密 rdbEncryptSwitch 分布式缓存服务Redis 异步导出实例列表 asyncExportInstances 分布式缓存服务Redis 手动主从切换 manualInstanceSwitch 分布式缓存服务Redis 手动更新Dns manualUpdateDnsForExpansion 分布式缓存服务Redis 执行redis命令 executeCommand 分布式缓存服务Redis 批量主从切换 batchMasterSlaveSwitch 分布式缓存服务Redis 批量执行命令不保存历史 executeCommandsWithoutHistory 分布式缓存服务Redis 批量退订实例 deleteInstances 分布式缓存服务Redis 按需转包周期付费 transChargeType 分布式缓存服务Redis 操作数据迁移任务 operateTransferTask 分布式缓存服务Redis 数据闪回 doDataflashBack 分布式缓存服务Redis 新增分组 addGroup 分布式缓存服务Redis 新增分组 createDbGroup 分布式缓存服务Redis 更改实例端口 modifyCachePort 分布式缓存服务Redis 更新证书 updateCertValidity 分布式缓存服务Redis 更新防火墙 updateFirewalld 分布式缓存服务Redis 添加白名单 appendWhiteList 分布式缓存服务Redis 清空实例数据 flushData 分布式缓存服务Redis 清空节点数据 delInstanceData 分布式缓存服务Redis 清空过期key flushExpireKeys 分布式缓存服务Redis 清除分组(db)数据 flushDbGroupData 分布式缓存服务Redis 清除慢日志 slowLogReset 分布式缓存服务Redis 满意度评价 satisfaction 分布式缓存服务Redis 立即扫描过期key scanExpiredKeysImmediately 分布式缓存服务Redis 绑定弹性IP bindElasticIP 分布式缓存服务Redis 节点恢复 batchRestartNode 分布式缓存服务Redis 获取备份文件的下载url getRdbDownloadUrl 分布式缓存服务Redis 覆盖原白名单分组 coverWhiteList 分布式缓存服务Redis 解绑弹性IP unBindElasticIP 分布式缓存服务Redis 设置副本优先级 updateSlavePriority 分布式缓存服务Redis 设置实例自动续费 changeAutoRenewStatus 分布式缓存服务Redis 设置读写分离开关 enableRWSep 分布式缓存服务Redis 设置读写分离的读策略 setReadPolicy 分布式缓存服务Redis 退订实例 deleteInstance 分布式缓存服务Redis 配置自动重试类型 configAutoRetryType 分布式缓存服务Redis 重启Redis节点 restartRedisNode 分布式缓存服务Redis 重启access节点 restartAccessNode 分布式缓存服务Redis 重启数据迁移任务 restartTransferTask 分布式缓存服务Redis 重新执行数据迁移任务 retryTransferTask 分布式缓存服务Redis 重置redis密码 resetRedisPwd 分布式缓存服务Redis 重置实例密码 resetInstancePassword 分布式缓存服务Redis 重置实例账号密码 resetAccountPassword 分布式缓存服务Redis

Ⅱ类资源池插件支持情况 插件名称 功能 PostgreSQL 12 PostgreSQL 13 PostgreSQL 14 PostgreSQL 15 PostgreSQL 16 PostgreSQL 17 addressstandardizer 地理编码和逆向地理编码数据地址规则化。 3.0.2 3.3.0 3.3.0 3.3.2 3.4.3 3.5.0 addressstandardizerdataus 数据地址规则化示例数据集。 3.0.2 3.3.0 3.3.0 3.3.2 3.4.3 3.5.0 adminpack 提供日志文件的远程管理函数。 2 2.1 2.1 2.1 2.1 amcheck 检验索引结构的逻辑一致性。 1.2 1.2 1.3 1.3 1.3 1.4 autoinc 提供自增字段的函数。 1 1 1 1 1.0 1.0 bloom Bloom索引包。 1 1 1 1 1.0 1.0 boolplperl bool类型转perl脚本语言。 1.0 1.0 1.0 1.0 1.0 不支持 boolplperlu bool类型转perl脚本语言（不受信任）。 1.0 1.0 1.0 1.0 1.0 不支持 btreegin B树gin索引包。 1.3 1.3 1.3 1.3 1.3 1.3 btreegist B树gist索引包。 1.5 1.5 1.6 1.7 1.7 1.7 citext 大小写不敏感。 1.6 1.6 1.6 1.6 1.6 1.6 cube 提供多维空间类型。 1.4 1.4 1.5 1.5 1.5 1.5 dblink 跨库连接的插件。 1.2 1.2 1.2 1.2 1.2 1.2 decoderbufs 逻辑解码器输出插件。 0.1.0 0.1.0 0.1.0 0.1.0 0.1.0 0.1.0 dictint 全文搜索词典模板的示例。 1 1 1 1 1.0 1.0 dictxsyn 全文搜索词典模板的示例。 1 1 1 1 1.0 1.0 earthdistance 计算地球表面上的大圆弧距离。 1.1 1.1 1.1 1.1 1.1 1.2 fuzzystrmatch 字符串相似性判断。 1.1 1.1 1.1 1.1 1.2 1.2 hstore 键值存储。 1.6 1.7 1.8 1.8 1.8 1.8 hstoreplperl hstore类型转perl脚本语言。 1.0 1.0 1.0 1.0 1.0 不支持 hstoreplperlu hstore类型转perl脚本语言（不受信任）。 1.0 1.0 1.0 1.0 1.0 不支持 hll HyperLogLog数据结构。 2.16 2.16 2.16 2.16 2.18 2.18 hypopg 创建虚拟索引。 1.3.1 1.3.1 1.3.1 1.3.1 1.3.1 1.41 insertusername 跟踪谁修改表的函数。 1 1 1 1 1.0 1.0 intagg 提供了一个整数聚集器和枚举器。 1.1 1.1 1.1 1.1 1.1 1.1 intarray 为整数nullfree数组提供函数和操作符。 1.2 1.3 1.5 1.5 1.5 1.5 isn 输出时连接号码。 1.2 1.2 1.2 1.2 1.2 1.2 jsonbplperl jsonb类型转perl脚本语言。 1.0 1.0 1.0 1.0 1.0 不支持 jsonbplperlu jsonb类型转perl脚本语言。程语言（不受信任）。 1.0 1.0 1.0 1.0 1.0 不支持 lo 大对象被修改的触发函数。 1.1 1.1 1.1 1.1 1.1 1.1 ltree 实现树形结构的插件。 1.1 1.2 1.2 1.2 1.2 1.3 moddatetime 跟踪最后修改时间的插件。 1 1 1 1 1.0 1.0 orafce 兼容oracle的插件。 3.13 3.13 3.13 3.25 4.13 4.15 oldsnapshot 检查用于实现服务器状态。 不支持 不支持 1.0 1.0 1.0 不支持 pageinspect 查看页的内容插件。 1.7 1.8 1.9 1.11 1.12 1.12 pgaudit 提供详细的会话和对象审计日志记录。 1.4.3 1.5.2 1.7 1.7 17.0 17.0 pgauditlogtofile 提供审计日志归档和重定向 1.6 1.6 1.6 1.6 1.6 1.6 pgcrypto 对字段进行加密。 1.3 1.3 1.3 1.3 1.3 1.3 pglogical 提供逻辑流复制发布和订阅的功能。 2.4.2 2.4.2 2.4.2 2.4.2 2.4.4 2.4.5 pgrowlocks 显示指定表的行锁定信息插件。 1.2 1.2 1.2 1.2 1.2 1.2 pgstattuple 提供表的统计信息函数。 1.5 1.5 1.5 1.5 1.5 1.5 pgroonga 提供快速全文搜索功能。 3.0.4 3.0.4 3.0.4 3.0.4 3.0.4 4.0.1 pgroongadatabase 提供管理 PGroonga 数据库的功能。 3.0.4 3.0.4 3.0.4 3.0.4 3.0.4 4.0.1 pgrouting 依赖postgis提供地理空间路由和其他网络分析功能。 3.4.2 3.4.2 3.4.2 3.4.2 3.4.2 3.7.3 http 用于PostgreSQL的HTTP客户端，从数据库内部检索一个网页。 1.5 1.5 1.5 1.5 1.5 1.6 pgtt 创建全局临时表。 2.3.0 2.9.0 2.9.0 2.10.0 4.0.0 4.0.0 pgbigm 创建一个二元语法（2gram）的GIN索引来加速全文搜索过程。 1.2 1.2 1.2 1.2 1.2 1.2 pgbuffercache 查看sharedbuffer缓存信息。 1.3 1.3 1.3 1.3 1.4 1.5 pgdirtyread 闪回查询。 2.0 2.0 2.0 2.0 2.0 2.0 pgfreespacemap 检查自由空间映射。 1.2 1.2 1.2 1.2 1.2 1.2 pghintplan 通过特殊的注释语句提示，使PostgreSQL改变其既定的执行计划。 1.3.8 1.3.8 1.4.1 1.5 1.6.1 1.7.0 pgjieba 对中文全文实现分词。 1.1.1 1.1.1 1.1.1 1.1.1 1.1.1 1.1.1 pglogincheck 密码登录校验。 1.0 1.0 1.0 1.0 1.2 1.0 pgpartman 创建和管理基于时间和基于序列的表分区集。 4.7.0 4.7.0 4.7.0 4.7.2 5.1.0 5.2.5 pgprewarm 将表数据缓存到内存中。 1.2 1.2 1.2 1.2 1.2 1.2 pgprofile 资源密集活动统计。 4.1 4.1 4.1 4.2 4.1 4.8 pgqualstats 索引推荐。 2.1.1 2.1.1 2.1.1 2.1.1 2.1.1 2.1.1 pgrepack 在线清理表空间功能。 1.4.8 1.4.8 1.4.8 1.4.8 1.5.1 1.5.2 pgstatkcache 系统读写信息统计。 2.2.1 2.2.1 2.2.1 2.2.1 2.3.0 2.3.0 pgstatstatements 语句统计。 1.7 1.8 1.9 1.10 1.10 1.11 pgsurgery 各种函数来对损坏的表进行修复。 不支持 不支持 1.0 1.0 1.0 1.0 pgtrgm 提供三元模型检索匹配。 1.4 1.5 1.6 1.6 1.6 1.6 pgvisibility 检查表的可见性图和页面级可见性信息。 1.2 1.2 1.2 1.2 1.2 1.2 pgwalinspect 解析wal日志内容。 不支持 不支持 不支持 1.0 1.1 1.1 pldbgapi 调试存储过程。 1.1 1.1 1.1 1.1 1.1 1.1 plpgsql 代码覆盖检测。 1.0 1.0 1.0 1.0 1.0 1.0 plperl 一种可加载的过程语言。 1.0 1.0 1.0 1.0 1.0 不支持 plperlu 一种可加载的过程语言（不受信任）。 1.0 1.0 1.0 1.0 1.0 不支持 plproxy 帮助您用不同方式访问数据库。 2.10.0 2.10.0 2.10.0 2.10.0 2.11.0 2.11.0 pltcl 一种可载入过程语言。 1.0 1.0 1.0 1.0 不支持 不支持 pltclu 一种可载入过程语言（不受信任）。 1.0 1.0 1.0 1.0 不支持 不支持 postgis 地理信息系统。 3.0.2 3.3.0 3.3.0 3.3.2 3.4.3 3.5.0 postgisraster 地理信息系统。 3.0.2 3.3.0 3.3.0 3.3.2 3.4.3 3.5.0 postgissfcgal 地理信息系统。 3.0.2 3.3.0 3.3.0 3.3.2 3.4.3 3.5.0 postgistigergeocoder 地理信息系统。 3.0.2 3.3.0 3.3.0 3.3.2 3.4.3 3.5.0 postgistopology 地理信息系统。 3.0.2 3.3.0 3.3.0 3.3.2 3.4.3 3.5.0 postgresfdw 外部的postgres的fdw插件。 1.0 1.0 1.1 1.1 1.1 1.1 querycheck 决定数据库连接可以执行的类型。 1.0 1.0 1.0 1.0 1.0 1.0 rdkit 支持化学分子计算、化学分子检索等功能。 4.4.0 4.4.0 4.4.0 4.4.0 4.4.0 不支持 refint 用于实现参照完整性的函数。 1.0 1.0 1.0 1.0 1.0 1.0 roaringbitmap 使用位图功能，提高查询性能。 0.5 0.5 0.5 0.5 0.5 0.5 rum 高速全文检索。 1.3 1.3 1.3 1.3 1.3 1.3 sequentialuuids UUID生成器。 1.0.2 1.0.2 1.0.2 1.0.2 1.0.2 1.0.3 seg 支持seg数据类型。 1.3 1.3 1.4 1.4 1.4 1.4 smlar 计算两个相同类型数组的相似度。 1.0 1.0 1.0 1.0 1.0 1.0 sslinfo 提供当前客户端提供的 SSL 证书的有关信息。 1.2 1.2 1.2 1.2 1.2 1.2 tablefunc 表函数。 1.0 1.0 1.0 1.0 1.0 1.0 tcn 提供触发器函数。 1.0 1.0 1.0 1.0 1.0 1.0 teledbfirewall SQL防火墙。 0.8 0.8 0.8 0.8 0.8 0.9 telepgmonitor 采集&监控系统资源的插件。 2.8.1 2.8.1 2.8.1 2.8.1 2.8.2 2.8.2 tdsfdw 查询其他类型数据库的数据。 2.0.3 2.0.3 2.0.3 2.0.3 2.0.3 2.0.4 timescaledb 时序数据库插件。 1.7.4 2.8.0 2.8.0 2.10.0 2.13.1 2.19.0 tsmsystemrows 提供表采样方法。 1.0 1.0 1.0 1.0 1.0 1.0 tsmsystemtime 提供表采样时间。 1.0 1.0 1.0 1.0 1.0 1.0 unaccent 文本搜索字典，它能从词位中移除重音（附加符号）。 1.1 1.1 1.1 1.1 1.1 1.1 uuidossp 提供脱离os的UUID函数。 1.1 1.1 1.1 1.1 1.1 1.1 walminer 闪回DML，DDL。 2.0 3.0 3.0 3.0 3.0 3.0 xml2 提供xml2数据类型。 1.1 1.1 1.1 1.1 1.1 1.1 wal2json 将wal日志转成json格式。 1.0 1.0 1.0 1.0 不支持 不支持 pgnotcopy 专业修复pg漏洞的插件。 1.1 1.1 1.1 不支持 不支持 不支持 vector 提供向量数据库的vector数据类型。 0.7.4 0.8.0 0.8.0 0.8.0 0.8.0 0.8.0 zhparser 中文全文搜索。 2.2 2.2 2.2 2.2 2.2 2.3 telepgpasswordcheck 密码强度校验。 1.0 1.0 1.0 1.0 1.0 1.0

本页介绍天翼云TeleDB数据库V5.1.5版本更新说明。 版本说明 本章节主要介绍TeleDB版本更新说明。 V5.1.5版本说明 组件名称 版本号 发布时间 TeleDB Core 5.1.5 2024年 11 月 说明 该版本适配的DCP版本为V3.10.1p1。 新增和优化功能： 1. 支持分布式远程数据访问框架RDA。 管控侧：在实例发放页面新增RDA端口输入框，实例开通页面增加内部通信端口。 内核侧：基于RDA实现了TeleDB分布式数据库实例内部，节点间数据的高效传输，解决了原生PGXL架构在处理复杂查询时连接数暴涨的问题。 2. 支持获取和配置全局数据变化的CDC订阅能力。 管控侧：支持部署CDC插件工具，配置CDC运行参数。 内核侧：用于捕获、处理和同步TeleDB分布式数据库实例数据变化的工具，允许将 TeleDB分布式数据库中的变更数据实时地同步到下游系统，例如其他数据库、消息队列、数据仓库等。 3. 新增对接内核跨版本升级工具，支持用户在界面操作跨版本升级。 管控侧：在实例升级流程中，主动识别升级路径，并对接跨版本升级工具。 内核侧：在实例升级过程中，支持通过升级工具对系统表加列、支持新建系统表、支持增删系统函数和支持升级版本管理。 4. 磁盘只读增加开关，支持Agent定时监控磁盘空间使用率和支持磁盘满的时候只允许查询数据，不允许写入数据。 管控侧：支持定时检测节点磁盘容量，当如果任一节点所在机器的数据目录或者表空间目录磁盘达到阈值，则管控侧将自动修改defaulttransactionreadonly参数值。 内核侧：通过识别defaulttransactionreadonly参数值，来设置只允许查询，不允许执行插入更新语句。 5. 支持分布式死锁检测DDS特性。 管控侧：不涉及。 内核侧：用于实时检测分布式死锁，并按优先级终止事务解除死锁。将opentenbase社区pgunlock插件的死锁检测实效性从分钟级提升到秒级。 6. 支持分区表全局索引。 管控侧：不涉及。 内核侧：支持创建节点内跨分区表的全局索引，分区表在非分片键上的查询性能明显提升。 7. 支持GlobalCache特性。 管控侧：不涉及。 内核侧：支持各进程共享PlanCache数据、SysCache 数据和RelCache 数据，全局元数据缓存，实现节点内表、执行计划等对象的全局缓存，减少大并发场景下的内存消耗。 8. 支持列存储引擎Pax。 管控侧：不涉及。 内核侧：通过表访问方法Table Access Method（简称为 Table AM）提供一种可插拔存储引擎机制，用于实现不同的表访问方式，它允许通过实现自定义的 Table AM，来定义新的表访问方式，并将其集成到数据库中。基于这种机制使得 TeleDB 数据库内核可以支持列存储引擎。 9. 支持XCopy实现集群间数据拷贝。 管控侧：不涉及。 内核侧：支持通过XCopy工具实现集群间数据拷贝。 10. 支持全局统计信息搜集。 管控侧：不涉及。 内核侧：支持在1个CN执行analyze后，其它CN统计信息同步更新。 11. 支持索引优化建议。 管控侧：定时任务中内置Queryindexadvice函数和慢SQL查询增加索引优化建议按钮。 内核侧：采样用户SQL，通过创建虚拟索引对比执行计划，给出索引方面的优化建议。 12. 支持表级降冷存储。 管控侧：不涉及。 内核侧：支持数据表整体降冷和重新转热。 13. 支持透明加密对接KMS、全密态对接KMS、审计用户和RDA加密等。 管控侧：实例开通时增加KMS开关、SSL开关。 内核侧：支持按规则、对象等维度，记录DDL、DML、SQL等独立设计的MLSADMIN账号体系和支持行级访问控制，和磁盘数据加密对接KMS、接入KMS管理密钥，密钥不落盘。 修复漏洞 1. prof调试信息泄露漏洞【原理扫描】。 2. Xlake插件相关漏洞修复。 CVE201910164 漏洞名称：TeleDB：PostgreSQL 缓冲区错误漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网访问，或开放风险端口；梳理高危用户权限，避免使用弱密码；pghba.conf认证方式选用md5，暂时规避使用scramsha256的方式。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20222625 漏洞名称：TeleDB：PostgreSQL 安全漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；禁止使用不受信任第三方插件；扫描并卸载不受信或未使用插件；插件安装禁用CREATE OR REPLACE、 CREATE IF NOT EXISTS。 正式解决方案：产品版本升级到5.1.5及以上。 CVE202339417 漏洞名称：TeleDB：redhat software collectionsSQL注入漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；业务系统前端配置WAF防火墙；业务系统启用SQL防注入能力；严格检查extension的安装sql文件是否存在：@extowner@等特殊非法语句否则应调整或禁止安装。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20247348 漏洞名称：TeleDB：PostgreSQL pgdump竞争条件漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年08月 漏洞详情： 历史版本临时解决方案：在pgdump 工具中存在TOCTOU竞争条件漏洞，pgdump是PostgreSQL用于备份数据库的工具，它通常由具有较高权限（如超级用户）的用户运行。由于pgdump 在检查对象类型和实际使用这些对象之间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞，威胁者可利用该漏洞来替换某些数据库对象。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20221552 漏洞名称：TeleDB：PostgreSQL 权限许可和访问控制问题漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 漏洞详情： PostgreSQL 存在权限许可和访问控制问题漏洞，该漏洞源于autovacuum 功能和多个命令可以逃脱“安全限制操作”沙箱。 正式解决方案：产品版本升级到5.1.5及以上。 修复缺陷 1. 内核特性适配。 2. 备份策略的加密配置可修改。 3. 和DCP联调RDA内核开通。 4. 兼容四位版本解析。 5. 禁用dbusernamespace参数。 6. 扩容撤销工单对接。 7. 内存监控指标调整。 8. 配合前端做接口调整。 9. 升级golang sdk为1.11。 10. 实例名称修改。 11. 提供内核版本接口给DCP调用。 12. 通过DCP开通实例失败返回有用错误日志。 13. 修改DCP和x实例列表中的实例系列。 14. pgclean定时任务需针对每个database都执行。 15. RDA版本内核和非RDA版本内核之间的备份恢复。 16. 参数管理增加允许值和描述。 17. 详情页实例名称支持修改。 18. 修改DCP和x实例列表中的实例系列。 19. 强制升级按钮屏蔽。 20. DCP工单以及任务管理中显示具体的扩容失败原因。 21. 备份策略与增量日志定时检测任务优化。 22. 回收资源时，不处理DCP创建的资源。 23. 修改密码页面增加提示。 24. 修改密码页面增加提示。 25. 修复实例运维相关问题，如主从切换、备份恢复、实例启停等。 26. 修复数据空间管理相关问题。 27. 修复监控采集脚本不执行、计算错误等问题。 28. 修复Xcopy无法执行问题。 29. 修复审计相关问题。 30. 界面易用性优化。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是 PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 tempbuffers，临时表缓冲区。 workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭CPU 的节能模式。 关闭NUMA。 建议使用UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本章介绍如何进行目的端的配置。 操作场景 迁移前，您需要设置目的端服务器。该目的端用来接收源端的数据，同时您也可以使用该目的端进行迁移测试和启动目的端。 前提条件 只有“迁移阶段”为“已就绪”时才可设置目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面找到待迁移的服务器，在“目的端”列，单击“设置目的端”，进入迁移配置页面。或单击“操作”列的“更多 > 设置目的端”，进入迁移配置页面。如果在迁移服务器列表中没有看到源端服务器记录，请检查是否登录的是目的端天翼云帐号。 4. 在“迁移配置”页面的基本配置页签，根据下表参数说明，设置相关参数。 参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见创建迁移参数模板。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务。仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。 调整磁盘分区 单击右侧出现的“调整磁盘分区”，弹出“磁盘分区调整”窗口，如下图所示，用户根据实际业务场景，完成磁盘分区的设置。 图 Windows磁盘分区调整 图 Linux磁盘分区调整 说明 磁盘分区调整可以修改是否迁移以及调整分区大小。 Linux支持LVM调整，可以选择物理卷和逻辑卷是否迁移以及调整大小。 注意 Windows系统分区和启动分区是否迁移不可选，默认必须进行迁移。 Windows调整分区大小时只能增大当前分区大小。 Linux Btrfs文件系统暂时不支持磁盘分区调整。 Linux系统分区，swap分区是否迁移不可选，默认为“是”，必须进行迁移。 LVM迁移卷组，可通过卷组配置页，左上方的按钮组，选择全部迁移或暂不迁移。 LVM中的逻辑卷如果是否迁移都选择“否”，则卷组不迁移，对应的物理卷是否迁移也会全部自动切换成“否”。 Linux块级迁移，磁盘分区只可以调大。 Linux文件级迁移，磁盘分区可以调大，也可以调小，调小时需保证调小后的分区大小大于已使用空间+1GB。如果调整前分区大小小于已使用空间+1GB，则无法将磁盘分区大小调小。 如果调整分区大小超过当前磁盘大小时，请先单击“磁盘调整”，调大磁盘大小后再进行分区调整。 如果调整分区大小后，小于当前磁盘大小，如有必要，可单击“磁盘调整”，调小磁盘大小。 单击“下一步 磁盘调整”，确认磁盘调整无误后，单击“确定”，完成磁盘分区的调整。 注意 确定后，是否调整磁盘分区无法重新设置为“否”。如果想要恢复原始磁盘分区设置，请在操作栏下，下拉“更多”，单击“删除”，然后在源端重启Agent，之后重新设置目的端配置，是否调整磁盘分区选择“否”。 5. 单击右下角的“下一步：目的端配置”，进入目的端配置页签。 6. 在目的端配置页签，设置相关参数。 参数 子参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目 服务器选择 已有服务器 在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 根据需求，您可以配置虚拟私有云、子网、安全组等参数，详细说明参见创建新服务器。 已有服务器 目的端服务器需要满足如下条件，否则请单击“前往ECS购买”，根据“推荐目的端，操作系统”购买满足如下条件的弹性云主机。当前已支持将源端服务器迁移到“包年/包月”和“按需计费”这两种计费模式的弹性云主机，您可根据需求选择对应计费模式的弹性云主机。 Windows系统的目的端服务器（即弹性云主机）“规格”中的“内存”大小要不小于2GB。 目的端服务器的磁盘个数不小于源端服务器磁盘个数，且目的端服务器每块磁盘的大小要不小于对应的源端服务器“推荐规格”大小。 目的端服务器的操作系统类型需要和源端的OS类型保持一致。否则，迁移完成后服务器OS系统类型与镜像类型不一致，造成名字冲突及其他问题。 确保源端服务器可以访问目的端服务器，即要有可用的EIP，或者配置VPN、专线。 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统，开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 创建新服务器 选择“自动推荐”时，虚拟私有云、子网与安全组默认为自动创建，也可以根据需求手动选择。 高级配置中服务器名称、可用区、规格、系统盘、数据盘、弹性公网IP默认自动推荐和选择，也可以根据需求手动选择。 说明 数据盘支持的磁盘模式包括：VBD类型（默认）、SCSI类型。关于磁盘模式的详细介绍请参见 数据盘支持创建“共享盘”，关于共享磁盘的详细介绍请参见 选择已有模板时，虚拟私有云、子网、安全组、可用区、磁盘类型根据模板确定，也可以手动调整。 注意 虚拟私有云选择自动创建时，SMS会帮助用户创建一个VPC： 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 安全组选择自动创建时，则SMS服务会自动创建一个安全组，并根据SMS的需要开放端口，Windows开放8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 7.目的端参数配置完成后，单击右下角“下一步：确认配置”，进入确认配置页签。 8.（可选）单击“保存为虚拟机配置模板”，弹出“创建虚拟机配置模板”窗口，输入模板名称，单击“确定”，可将配置信息保存为模板。 说明 在目的端配置时，只有服务器选择“创建新服务器”时，才能单击“保存为虚拟机配置模板”。 图 创建虚拟机配置模板窗口 9. 确认信息无误后，单击“保存配置”按钮，弹出“是否保存配置”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。如果您想立即开始迁移，可单击“保存配置并开始迁移”按钮，弹出“是否保存配置并开始迁移”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 说明 当迁移服务器列表的迁移阶段列显示为，迁移实时状态为已就绪，说明目的端已配置完成。

本章介绍如何设置迁移目的端。 操作场景 迁移前，您需要设置目的端服务器。该目的端用来接收源端的数据，同时您也可以使用该目的端进行迁移测试和启动目的端。 前提条件 只有“迁移阶段”为“已就绪”时才可设置目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面找到待迁移的服务器，在“目的端”列，单击“设置目的端”，进入迁移配置页面。或单击“操作”列的“更多 > 设置目的端”，进入迁移配置页面。如果在迁移服务器列表中没有看到源端服务器记录，请检查是否登录的是目的端天翼云帐号。 4. 在“迁移配置”页面的基本配置页签，根据下表参数说明，设置相关参数。 参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见创建迁移参数模板。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。具体操作参见调整磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务，仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。 调整磁盘分区 单击右侧出现的“调整磁盘分区”，弹出“磁盘分区调整”窗口，如下图所示，用户根据实际业务场景，完成磁盘分区的设置。 图 Windows磁盘分区调整 图 Linux磁盘分区调整 说明 磁盘分区调整可以修改是否迁移以及调整分区大小。 Linux支持LVM调整，可以选择物理卷和逻辑卷是否迁移以及调整大小。 注意 Windows系统分区和启动分区是否迁移不可选，默认必须进行迁移。 Windows调整分区大小时只能增大当前分区大小。 Linux Btrfs文件系统暂时不支持磁盘分区调整。 Linux系统分区，swap分区是否迁移不可选，默认为“是”，必须进行迁移。 LVM迁移卷组，可通过卷组配置页，左上方的按钮组，选择全部迁移或暂不迁移。 LVM中的逻辑卷如果是否迁移都选择“否”，则卷组不迁移，对应的物理卷是否迁移也会全部自动切换成“否”。 Linux块级迁移，磁盘分区只可以调大。 Linux文件级迁移，磁盘分区可以调大，也可以调小，调小时需保证调小后的分区大小大于已使用空间+1GB。如果调整前分区大小小于已使用空间+1GB，则无法将磁盘分区大小调小。具体规则请参见卷组和磁盘分区大小调整规则。 如果调整分区大小超过当前磁盘大小时，请先单击“磁盘调整”，调大磁盘大小后再进行分区调整。 如果调整分区大小后，小于当前磁盘大小，如有必要，可单击“磁盘调整”，调小磁盘大小。 单击“下一步 磁盘调整”，确认磁盘调整无误后，单击“确定”，完成磁盘分区的调整。 注意 确定后，是否调整磁盘分区无法重新设置为“否”。如果想要恢复原始磁盘分区设置，请在操作栏下，下拉“更多”，单击“删除”，然后在源端重启Agent，之后重新设置目的端配置，是否调整磁盘分区选择“否”。 5. 单击右下角的“下一步：目的端配置”，进入目的端配置页签。 6. 在目的端配置页签，设置相关参数。 参数 子参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目 服务器选择 已有服务器 在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 根据需求，您可以配置虚拟私有云、子网、安全组等参数，详细说明参见创建新服务器。 已有服务器 目的端服务器需要满足如下条件，否则请单击“前往ECS购买”，根据“推荐目的端，操作系统”并参见购买弹性云主机创建满足如下条件的弹性云主机。当前已支持将源端服务器迁移到“包年/包月”和“按需计费”这两种计费模式的弹性云主机，您可根据需求选择对应计费模式的弹性云主机。 Windows系统的目的端服务器（即弹性云主机）“规格”中的“内存”大小要不小于2GB。 目的端服务器的磁盘个数不小于源端服务器磁盘个数，且目的端服务器每块磁盘的大小要不小于对应的源端服务器“推荐规格”大小。 目的端服务器的操作系统类型需要和源端的OS类型保持一致。否则，迁移完成后服务器OS系统类型与镜像类型不一致，造成名字冲突及其他问题。 确保源端服务器可以访问目的端服务器，即要有可用的EIP，或者配置VPN、专线。 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统，开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 创建新服务器 选择“自动推荐”时，虚拟私有云、子网与安全组默认为自动创建，也可以根据需求手动选择。 高级配置中服务器名称、可用区、规格、系统盘、数据盘、弹性公网IP默认自动推荐和选择，也可以根据需求手动选择。 说明 数据盘支持的磁盘模式包括：VBD类型（默认）、SCSI类型。关于磁盘模式的详细介绍请参见 数据盘支持创建“共享盘”，关于共享磁盘的详细介绍请参见 选择已有模板时，虚拟私有云、子网、安全组、可用区、磁盘类型根据模板确定，也可以手动调整。 注意 虚拟私有云选择自动创建时，SMS会帮助用户创建一个VPC： 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 安全组选择自动创建时，则SMS服务会自动创建一个安全组，并根据SMS的需要开放端口，Windows开放8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 7.目的端参数配置完成后，单击右下角“下一步：确认配置”，进入确认配置页签。 8.（可选）单击“保存为虚拟机配置模板”，弹出“创建虚拟机配置模板”窗口，输入模板名称，单击“确定”，可将配置信息保存为模板。 说明 在目的端配置时，只有服务器选择“创建新服务器”时，才能单击“保存为虚拟机配置模板”。 图 创建虚拟机配置模板窗口 9. 确认信息无误后，单击“保存配置”按钮，弹出“是否保存配置”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 如果您想立即开始迁移，可单击“保存配置并开始迁移”按钮，弹出“是否保存配置并开始迁移”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 说明 当迁移服务器列表的迁移阶段列显示为，迁移实时状态为已就绪，说明目的端已配置完成。

本章节主要介绍故障演练服务技术类问题。 故障演练的实现原理是什么？ 不同类型的故障动作实现原理各不相同，详细说明请参考故障动作库中的具体文档，下表简要概述了各类动作的核心原理： 分类 资源类型 动作类型 动作 简介 原理描述 计算 云主机 主机资源 主机宕机 使用云主机接口对实例进行关机 通过调用云主机关机OpenAPI触发关机 计算 云主机 CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序，空跑for循环来消耗CPU时间片 计算 云主机 内存资源 内存高负载 使用内部自研工具实施内存高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 计算 云主机 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 计算 云主机 磁盘资源 IO Hang 模拟磁盘产生IO Hang效果 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过fsfreeze命令模拟磁盘夯死表现 注意：设置磁盘夯死故障注入后，可能会导致应用无法读写文件产出异常，请谨慎使用 计算 云主机 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过dd命令将数据写入文件 计算 云主机 网络资源 网络丢包 使用TC和Netem模拟主机内网络丢包 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络延迟 使用TC和Netem模拟主机内网络延迟 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包重复 使用TC和Netem模拟主机内网络包重复 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包乱序 使用TC和Netem模拟主机内网络包乱序 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包损坏 使用TC和Netem模拟主机内网络包损坏 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 端口占用 模拟指定端口占用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序， 创建Socket对象并绑定到指定端口 计算 云主机 网络资源 DNS篡改 篡改指定域名解析到指定IP 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件实现 计算 云主机 网络资源 DNS不可用 DNS解析不可用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件或防火墙规则实现 注意：该动作风险较大，请谨慎操作 计算 云主机 JVM故障 JVM延迟 向特定JVM进程注入方法调用延迟故障 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过Java Agent在JVM进程内插入sleep代码来实现 中间件 Redis 集群资源 主从切换 Redis主从切换 通过调用Redis主从切换OpenAPI，触发Redis集群实例进行主从切换 中间件 Redis 节点资源 Redis节点故障 Redis节点发生故障 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复 中间件 Redis 节点资源 Proxy节点故障 Proxy节点发生故障 通过调用Redis停止Proxy服务OpenAPI，模拟Proxy节点不可用 中间件 Redis 节点资源 节点主机宕机 Redis节点关机 通过关闭节点主机，模拟节点宕机 中间件 Redis 节点资源 CPU高负载 Redis节点CPU高负载 在节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Redis 节点资源 内存高负载 Redis节点内存高负载 在节点启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 中间件 Redis 节点资源 磁盘IO高负载 Redis节点磁盘IO高负载 在节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Redis 节点资源 磁盘IO Hang Redis节点磁盘IO Hang 在节点通过fsfreeze命令模拟磁盘夯死表现 中间件 Redis 节点资源 网络丢包 Redis节点网络丢包 在节点通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 中间件 Kafka 节点资源 Broker节点主机宕机 Broker节点关机 指定或随机一个Broker节点进行关机 中间件 Kafka 节点资源 Broker节点CPU高负载 Broker节点CPU高负载 指定或随机一个Broker节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Kafka 节点资源 Broker节点磁盘IO高负载 Broker节点磁盘IO高负载 指定或随机一个Broker节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Kafka 节点资源 分区Leader不可用 分区Leader发生故障 指定一个或多个分区Leader，通过调用Kafka模拟Leader故障OpenAPI，触发Leader重新选举 中间件 RCC 集群资源 停止服务 注册配置中心集群服务故障 通过调用RCC停止集群OpenAPI，模拟RCC集群服务故障 中间件 RCC 节点资源 停止节点 注册配置中心节点故障 通过调用RCC停止节点OpenAPI，模拟RCC节点故障 云容器 容器集群 节点资源 托管Master节点宕机 关闭云容器引擎Master节点主机 通过关闭云容器引擎Master节点主机，模拟Master节点宕机（支持托管版本和智算版） 云容器 容器集群 节点资源 节点宕机 关闭云容器引擎纳管的节点主机 通过关闭云容器引擎纳管的节点主机，模拟节点宕机（支持Worker节点或专有版容器Master节点） 云容器 容器集群 节点资源 Etcd节点宕机 停止Etcd服务，模拟Etcd节点宕机 通过停止Etcd节点上的服务，模拟Etcd节点宕机 云容器 集群Node CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Node 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Node 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Node 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Node 网络资源 网络丢包 使用TC和Netem模拟Node内网络丢包 通过增加TC和Netem规则模拟Node内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络延迟 使用TC和Netem模拟Node内网络延迟 通过增加TC和Netem规则模拟Node内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包重复 使用TC和Netem模拟Node内网络包重复 通过增加TC和Netem规则模拟Node内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包乱序 使用TC和Netem模拟Node内网络包乱序 通过增加TC和Netem规则模拟Node内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包损坏 使用TC和Netem模拟Node内网络包损坏 通过增加TC和Netem规则模拟Node内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Node 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Node 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Pod 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Pod 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Pod 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Pod 网络资源 网络丢包 使用TC和Netem模拟Pod内网络丢包 通过增加TC和Netem规则模拟Pod内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络延迟 使用TC和Netem模拟Pod内网络延迟 通过增加TC和Netem规则模拟Pod内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包重复 使用TC和Netem模拟Pod内网络包重复 通过增加TC和Netem规则模拟Pod内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包乱序 使用TC和Netem模拟Pod内网络包乱序 通过增加TC和Netem规则模拟Pod内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包损坏 使用TC和Netem模拟Pod内网络包损坏 通过增加TC和Netem规则模拟Pod内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Pod Pod资源 Pod删除 删除指定Pod 调用云容器引擎K8S API删除Pod 云容器 集群Pod 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Pod 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod JVM故障 JAVA方法调用延迟 指定JVM进程与方法增加调用延迟 通过Java Agent拦截指定JVM进程内方法，增加sleep操作模拟调用延迟 云容器 集群Pod JVM故障 JAVA方法抛自定义异常 指定JVM进程与方法抛出自定义异常 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常 云容器 容器镜像 Harbor服务 Harbor服务不可用 停止Harbor服务，模拟容器镜像仓库不可用 通过调用容器镜像服务OpenAPI，停止Harbor服务，模拟容器镜像仓库不可用

参数 参数类型 说明 示例 下级对象 appDeployInstVersionUuid String 应用实例版本uuid version String 版本 comment String 版本名称 state String 状态 stateName String 状态名称 createStaff String 创建者 createTime String 创建时间

参数 是否必填 参数类型 说明 示例 下级对象 appDeployUuid 是 String 应用实例uuid pageNum 否 Integer 分页pageNum，默认值为1 pageSize 否 Integer 分页pageSize，默认值为10

本章节介绍Dubbo应用的服务降级功能 概述 业务高峰期时。您可以通过服务降级功能，对部分的服务消费者进行降级操作，让不重要的业务方不进行真实地调用，直接返回降级的结果，将宝贵的下游服务提供者资源保留给重要的业务调用方使用，从而提升整体服务的稳定性。 查看服务降级规则列表 在左侧导航栏，Dubbo治理 > 服务降级。查看当前账号下的服务降级规则。服务降级规则展示了规则名称、服务提供者应用、服务降级应用、应用框架、状态等信息，如果服务较多，可以通过环境、规则名称、被调用方进行筛选或搜索。 创建服务降级规则 在服务降级规则页面单击创建降级规则。 ● 环境：选择一个环境。 ● 规则名称：服务降级规则名称，例如 ordersales。 ● 规则描述：服务降级规则描述。 ● 服务提供者应用：选择提供服务的应用。 ● 降级应用：选择被调用的降级服务应用。 ● 降级规则： 框架类型：选择dubbo类型框架。 服务路径：选择服务应用和Path。 请求方法：选择应用的请求方式。 执行策略：选择服务降级的执行策略，包括所有请求生效和请求异常生效，请根据实际需求进行选择。 降级策略：选择服务降级的具体策略，包含返回Null值、返回Exception异常、返回自定义JSON数据和自定义回调，请根据实际需求选择。

本章节介绍 Spring Cloud应用服务测试功能 概述 在日常开发中，开发人员或测试人员需要临时调用线上服务来调试已经部署的服务或查询线上数据。服务测试功能可以让您在控制台填写调用参数、发起服务调用，并得到服务调用的结果。 查看服务列表 在左侧导航栏，Spring Cloud治理 > 服务测试。查看当前账号下可以进行测试的Spring Cloud服务。如果服务较多，可以通过环境、服务名、应用名进行筛选或搜索，服务名和应用名大小写不敏感。 服务测试 再服务测试列表操作列，单击测试，在测试服务面板中设置参数，然后单击执行，等待返回结果。 调用IP：服务的实例（ECS或Pod）IP。如果部署了多个实例，在列表中选择其中一个IP，进行测试，只能单选。 Path：请求服务的接口路径，在列表中选择其中一个路径，只能单选。 请求方法：该所属类的请求方法，包含GETPUTPOSTDELETE多个请求方法，在列表中选择其中一种方法，只能单选。

本章节介绍Spring Cloud应用服务降级功能 概述 业务高峰期时，您可以通过服务降级功能，对部分的服务消费者进行降级操作，让不重要的业务方不进行真实地调用，直接返回降级的结果，将宝贵的下游服务提供者资源保留给重要的业务调用方使用，从而提升整体服务的稳定性。 查看服务降级规则列表 在左侧导航栏，Spring Cloud治理 > 服务降级。查看当前账号下的服务降级规则。服务降级规则展示了规则名称、服务提供者应用、服务降级应用、应用框架、状态等信息，如果服务较多，可以通过环境、规则名称、被调用方进行筛选或搜索。 创建服务降级规则 在服务降级规则页面单击创建降级规则。 ● 环境：选择一个环境。 ● 规则名称：服务降级规则名称，例如 ordersales。 ● 规则描述：服务降级规则描述。 ● 服务提供者应用：选择提供服务的应用。 ● 降级应用：选择被调用的降级服务应用。 ● 降级规则： 框架类型：选择Spring Cloud类型框架。 服务路径：选择服务应用和Path。 请求方法：选择应用的请求方式。 执行策略：选择服务降级的执行策略，包括所有请求生效和请求异常生效，请根据实际需求进行选择。 降级策略：选择服务降级的具体策略，包含返回Null值、返回Exception异常、返回自定义JSON数据和自定义回调，请根据实际需求选择。

本章节介绍如何使用自动化回归功能管理自动化测试用例 概述 自动化回归功能基于服务契约信息快速编排被测服务、管理自动化测试用例，帮助您高效管理、回归业务测试场景，完成业务快速验证和交付。 查看用例列表 在左侧导航栏，Dubbo治理 > 自动化测试用例管理。查看当前账号下的用例列表。用例列表展示了用例名称、最后一次执行时间、最后一次结束时间、最后一次执行结果等信息，如果用例较多，可以通过环境、用例名称进行筛选或搜索。 创建用例 在用例列表页面，单击创建用例按钮。 用例名称：自定义测试用例名称。 步骤名称：自定义测试步骤名称。 环境：选择一个环境。 应用：选择需要测试的应用。 框架类型:选择Dubbo框架。 服务：选择需要测试的服务。 方法：dubbo服务中对应的方法，在列表中选择一个方法，只能单选。 基本信息：支持JSON格式的参数输入方式。其中默认入参为[]。 断言（选填）：输入检查对象和检查内容，选择检查条件。 出参提取（选填）：输入出参名和出参提取表达式。 用例详情 在用例列表页面操作列，单击详情按钮，进入到用例详情页面。在用例详情页面可以看到用例的具体信息，单击立即执行按钮用例就会开始执行，单击访问一次按钮，对应的步骤则会执行一次。

告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人 概述 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在左边菜单栏选择“应用监控>告警管理>通知组”，进入”通知对象”，设置通知基本信息 具体使用说明可参考天翼云官网的应用性能监控>用户指南>告警管理>通知对象的文档