本文介绍了云防火墙（原生版）产品的互联网边界规则统计功能、以及规则优先级。 约束限制 互联网边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、入向规则数、出向规则数、已占用规格数/总规格。 其中，已占用规格数量入向规则数+出向规则数+黑名单规则数+白名单规则数。 规则类型 互联网边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 入向规则 出向规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 入向规则 > 出向规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

产品规格 存储类型 标准价格(元/G/月） 标准价格(元/G/小时） 单机实例/只读实例 高IO 0.4000 0.0009 单机实例/只读实例 超高IO 1.2000 0.0017 单机实例/只读实例 极速型SSD 2.0000 0.0042 主备实例 高IO 0.7000 0.0015 主备实例 超高IO 2.0000 0.0028 主备实例 极速型SSD 3.2000 0.0068

介绍分布式消息服务RabbitMQ的功能使用限制。 限制项 约束和限制 描述 版本 当前服务端版本有3.8.9和3.8.35 兼容AMQP 091协议的客户端版本。 连接数 RabbitMQ单机和集群实例，不同实例规格的连接数上限不一致，具体限制，请参考产品规格。 。 通道数 2GB 磁盘剩余空间低于2GB会触发磁盘高水位，生产者流程被阻塞。 clusterpartitionhandling pauseminority 当集群发生网络分区时，代理会检查自己是否处于“少数派”（存储分区的代理数小于等于总代理数的一半称为少数派）。少数派中的代理将会自动关闭服务并定期检测网络状态，待分区恢复之后重新启动服务。如果未开启镜像队列，发生分区时少数派上的队列将无法生产消费。此策略相当于放弃了可用性而选择了数据一致性。 rabbitmqdelayedmessageexchange 插件延迟时间存在1%左右的误差，可能提前或者推迟发送消息给消费者。 实例是否开启消息延迟功能。 延时消息最大延时时间 7天 延时消息的最大延时时间。

本文以“Windows Server 2008 R2 标准版 64位中文版”操作系统为例,分别介绍如何将系统盘和数据盘的扩容部分容量划分至原有分区内与新增分区中。 操作场景 在控制台上扩容成功后，用户需要将扩容部分的容量划分至原有分区内，或者对扩容部分的容量分配新的分区，具体说明如下。 云硬盘 扩容场景 操作示例 系统盘 系统盘扩容至原有分区 已有C盘的情况下，将扩容部分的容量划分至原有分区中，即增加到C盘中。 系统盘 系统盘扩容至新增分区 已有C盘的情况下，为扩容部分的容量分配新的分区，即新创建一块F盘，用作数据盘。 数据盘 数据盘扩容至原有分区 已有E盘的情况下，将扩容部分的容量划分至原有分区中，即增加到E盘中。 数据盘 数据盘扩容至新增分区 已有E盘的情况下，为扩容部分的容量分配新的分区，即新创建一块G盘，用作数据盘。 本文以“Windows Server 2008 R2 标准版64位中文版”操作系统为例，分别介绍如何将系统盘和数据盘的扩容部分容量划分至原有分区与新增分区内。不同操作系统的操作可能不同，本文仅供参考。 注意 扩容时请谨慎操作，误操作可能会导致数据丢失或者异常，建议扩容前对数据进行备份，推荐使用云硬盘备份。

访问控制 租户创建RDS实例时，RDS会为租户同步创建一个数据库主帐户，主帐户的密码由租户指定。此主帐户允许租户操作自己创建的RDS实例数据库。租户可以使用数据库主帐户连接RDS实例数据库，并根据需要创建数据库实例和数据库子帐户，并根据自身业务规划，将数据库对象赋予数据库子帐户，以达到权限分离的目的。 自动备份和手动备份 RDS提供两种备份恢复方法，即自动备份和手动备份。自动备份默认开启，备份存储期限最多732天，同时开启自动备份后，允许对数据库执行时间点恢复。RDS自动备份会进行全量数据备份，且每5分钟会增量备份事务日志，这就允许租户将数据恢复到最后一次增量备份前任何一秒的状态。手动备份是租户手动触发的数据库全量备份，这些备份数据存储在OBS桶中，当租户删除实例时，OBS桶中的手动备份会被保留。租户可以通过已有备份将数据恢复到新实例。 数据复制 RDS支持部署高可用实例。租户可选择在单可用区或多可用区中部署高可用实例。当租户选择高可用实例时，RDS会主动建立和维护数据库同步复制，在主实例故障的情况下，RDS会自动将备实例升为主实例，从而达到高可用的目的。 数据删除 租户删除RDS实例时，存储在数据库实例中的数据都会被删除，任何人都无法查看及恢复数据。

本文主要介绍SQL Server实例备份服务的价格。 天翼云SQL Server提供了备份服务，其价格如下表： 产品名称 标准价格(元/GB /月） 按需(元/GB/小时） 普通IO 0.30 0.0005 高IO 0.40 0.0009 超高IO 1.20 0.0017 对象存储 不支持包月 0.000139 对象存储流量 不支持包月 功能公测阶段，对象存储流量免费。 注意 包年预付费优惠政策：1年85折，2年7折，3年、4年、5年均享受5折优惠。 云硬盘的备份类型不享受免费额度，因此备份类型更推荐选择对象存储。 说明 目前对象存储的备份类型赠送和开通的存储空间同等大小的免费额度，在免费额度内的备份将不收取任何费用。超出免费额度外的备份将按照对象存储收费标准进行收费，每小时的备份费用 ( 备份总大小 免费备份额度 ) x 备份单价。 举例：如用户开通包周期2个月，存储空间100G的实例，那么在两个月内，备份空间不超过100G，则不会收取额外的备份费用。但如果备份超过100G，总备份为150G，则超出的50G按照0.00139元/GB/小时来收取费用。 此外用户的备份文件会根据备份策略进行保留，备份策略保留周期内的备份文件占用的对象存储容量按照以上规则进行收费。

应用场景 如果您已购买并使用运维安全中心（云堡垒机）服务专业版，可通过运维安全中心服务为主机安装企业主机安全的Agent。此安装方式无需获取主机账户密码或执行复杂的安装命令，可便捷的为单台或多台主机安装Agent。 前提条件 运维安全中心（云堡垒机）服务专业版，并通过运维安全中心（云堡垒机）纳管主机资源。 待安装Agent的主机为SSH协议类型的Linux主机，且主机网络连接正常。 已获取运维安全中心（云堡垒机）的系统管理员账号。 操作步骤 1.使用系统管理员账号登录运维安全中心（云堡垒机）系统。 2.在左侧导航栏，选择“运维> 快速运维”，进入“快速运维”界面。 3.选择“脚本控制台”页签，进入脚本控制台。 4.配置脚本运维信息。相关参数说明请参见下表，配置脚本运维信息 参数 说明 执行脚本 选择脚本“HSSAgent.sh”。 脚本参数 不填写。 执行账户 单击“选择”，选择待安装Agent的主机账户或账户组。 更多选项 可选设置。脚本任务默认在主机的Sudoers文件下执行，当主机账户没有该文件的执行权限时，需勾选“提权执行”。 5.单击“立即执行”，执行脚本任务。 6.脚本任务执行成功后，在执行结果列单击“展开”，展开执行结果，执行结果显示“install finished.[OK]”表示Agent安装成功。 7.在企业主机安全控制台，确认Agent安装结果。 8.登录企业主机安全控制台。 9.在左侧导航栏，选择“资产管理> 主机管理”，进入“主机管理”界面。 10.在“云服务器”页签，查看目标主机的Agent状态。 Agent状态为“在线”，表示Agent安装成功。

帮助用户完成云主机备份存储库的创建，快速创建云主机备份容器。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在界面右上角单击“购买云主机备份存储库”。 3. 选择计费模式。 包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 按需计费是后付费模式，根据实际使用量进行计费，可以随时购买或删除存储库。费用直接从账户余额中扣除。 4. 选择保护类型。 备份：创建的存储库类型为云主机备份存储库，用于存放云主机备份。 说明 单AZ备份：备份数据仅存储在单个可用区（AZ），成本更低。 多AZ备份：备份数据冗余存储至多个可用区（AZ），可靠性更高。 5. 选择是否启用数据库备份（该功能目前仅在部分资源池上线）。 启用：启用后，存储库可用于存放数据库备份。通过数据库备份内存数据，能够保证应用系统一致性，如包含MySQL或SAP HANA数据库的弹性云主机。如果数据库备份失败，系统会自动执行云主机备份，云主机备份也会存放在数据库备份存储库中。 不启用：仅对绑定的云主机进行普通的云主机备份，通常用于不包含数据库的弹性云主机。 6. （可选）在云主机列表中勾选需要备份的云主机或磁盘。勾选后将在已勾选服务器列表区域展示，如下图所示。可以选择云主机部分磁盘绑定至存储库。 注意 考虑到恢复后数据的一致性问题，建议您对整个云主机进行备份。 若您希望选择部分磁盘备份以节省成本，请尽量确保这些磁盘的数据不受其他未备份磁盘的数据影响，否则可能会导致数据不一致问题。 例如，Oracle应用的数据分散在不同磁盘上，如果只备份了部分磁盘，会导致恢复后数据不一致（已备份磁盘恢复到历史时间点数据，未备份磁盘仍保留当前数据），甚至导致应用无法启动。 图 选择云主机 说明 所选云主机未绑定存储库且状态必须为“运行中”或“关机”。 若不勾选云主机，如需备份可在创建存储库后绑定云主机即可。 7. 输入存储库的容量。取值范围为[10，10485760]GB。您需要提前规划存储库容量，存储库的容量不能小于备份云主机的大小，开启自动绑定功能和绑定备份策略后所需的容量更大。在使用过程中资源新增磁盘或磁盘进行扩容，未开启自动扩容的情况下存储库不会进行自动扩容。如果实际使用时存储库容量不足，可以通过扩容存储库扩大容量。 8. 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的云主机都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 9. 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 10. （可选）为存储库添加标签。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 11. 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vaultf61e。也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 12. 当计费模式为“包年/包月”时，需要选择购买时长。可选取的时间范围为1个月~5年。 可以选择是否自动续费，勾选自动续费时： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。 13. 根据页面提示，完成支付。 14. 返回云主机备份页面。可以在存储库列表看到成功创建的存储库。

本文介绍如何使用边缘函数部署时间戳防盗链。 通过时间戳进行请求防盗链。 示例代码 javascript / 示例url: / addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request){ //401表示鉴权不通过 let statuscode 401 let result 'TimeStamp verification failed!' try { if(verifyTimeStamp(request.url) true){ statuscode 200 result "TimeStamp verification succeeded!" // 返回请求内容 } } catch (error) { result error } return new Response(result, { "status": statuscode }) } function verifyTimeStamp(url){ //"url": " let currentTime new Date().getTime() let myURL new URL(url) let searchParams new URLSearchParams(myURL.search) let timeStamp parseInt(searchParams.get('time')) let token searchParams.get('token') // 校验时间戳：如果时间戳距离当前时间没有过期，则进行 token 检查 if (currentTime timeStamp < 60000) { // 校验token return tokenCheck(token) } return false } function tokenCheck(token){ // 此处可替换为自定义的复杂加解密算法 return token "abcabc" } 示例预览 访问请求传入未过期时间、鉴权token，鉴权通过。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent 运行时API：Web Standard 运行时API：Fetch

本文介绍如何使用边缘函数部署时间戳防盗链。 通过时间戳进行请求防盗链。 示例代码 javascript / 示例url: / addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request){ //401表示鉴权不通过 let statuscode 401 let result 'TimeStamp verification failed!' try { if(verifyTimeStamp(request.url) true){ statuscode 200 result "TimeStamp verification succeeded!" // 返回请求内容 } } catch (error) { result error } return new Response(result, { "status": statuscode }) } function verifyTimeStamp(url){ //"url": " let currentTime new Date().getTime() let myURL new URL(url) let searchParams new URLSearchParams(myURL.search) let timeStamp parseInt(searchParams.get('time')) let token searchParams.get('token') // 校验时间戳：如果时间戳距离当前时间没有过期，则进行 token 检查 if (currentTime timeStamp < 60000) { // 校验token return tokenCheck(token) } return false } function tokenCheck(token){ // 此处可替换为自定义的复杂加解密算法 return token "abcabc" } 示例预览 访问请求传入未过期时间、鉴权token，鉴权通过。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

功能介绍 零信任管理中心通过配置角色权限，再给用户授权实现权限的管理。 角色的权限支持控制到二级菜单粒度，可以实现不同员工管理不同菜单的管理模式。 身份用户与组织菜单支持更细粒度的分权管理，支持到数据粒度，可以分配不同的组织部门，实现一个部门一个管理员的管理模式。 应用应用配置菜单支持更细粒度的分权管理，支持到数据粒度，可以分配不同的应用，实现一个应用一个管理员的管理模式。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【AOne零信任】。 2. 在左侧导航栏，选择管理员权限，进入相关页面进行操作。 3. 可根据业务需求进行相关配置。 配置管理员角色 1.创建角色 点击创建角色按钮，根据指引填写角色信息选择权限预览并确认。 2.添加管理员 选择指定管理员角色，点击添加管理员，支持添加多个，授权主体支持用户组和用户。 3.查看详情 选择指定管理员角色，点击详情。 可查看/编辑管理员角色下的管理员列表及角色权限。

方法 这些方法仅在Request对象实例上可用。 clone() Promise 创建Request对象的副本。 arrayBuffer() Promise 返回以ArrayBuffer请求正文的表示形式。 formData() Promise 返回以FormData请求正文的表示形式（即将支持）。 json() Promise 返回使用请求正文的JSON表示形式的Promise。 text() Promise 返回使用请求正文的字符串表示形式的Promise。 示例 常见用法 获得请求方法：request.method。 获得请求url：request.url。 获得请求头：request.header。 获得请求负载：request.body，body是一个ReadableStream对象。 获得JSON：await request.json()。 获得表单数据：await request.formData()。 获得UTF8字符串：await request.text()。 尝试访问非活动Request上下文时将出错 在脚本启动期间尝试使用fetch()或访问Request上下文的任何尝试都会引发异常： javascript const promise fetch(" // Error async function eventHandler(event){..} 注意 此代码段将在脚本启动期间抛出异常，并且"fetch"事件侦听器将永远不会被注册。 相关参考 示例代码：HTTP路由器 示例代码：边缘身份验证 示例代码：UA黑白名单 示例代码：Referer防盗链 示例代码：时间戳防盗链 示例代码：请求改写

为什么查看事件窗口中，有些事件的IP、code、request、response和message字段为空？ IP、code、request、response和message字段并非云审计服务规定的必备字段： IP：当trace type为SystemAction时，表示本次操作由服务内部触发，此时缺失IP字段为正常情况。 request/response/code：这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码，在有些情况下，这些字段本身为空，或不具备业务意义，产生该事件的云服务会根据实际情况选择某字段留空。 message：该字段为预留字段，若其他云服务基于业务需要，需要增加额外信息时，可附加在该字段内，缺失为正常情况。 为什么事件列表中有些事件的为超链接可以跳转，有些为非超链接？ 目前CTS仅支持部分ECS、EVS、VBS、IMS、AS、CES和VPC的操作通过跳转到对应云资源的详情页面，该功能正在逐步完善。 为什么事件列表中的某些操作被记录了两次？ 对于异步调用事件，会产生两条事件记录，其事件名称、资源类型、资源名称等字段相同。在事件列表中，看起来是重复记录了操作（例如，Workspace的deleteDesktop事件），但实际上，这两条事件是相互关联、但内容不同的两条记录，典型的异步调用场景时间如下： 第一条事件：记录用户发起的请求； 第二条事件：记录用户请求的操作结果，通常与第一条时间记录有数分钟的延迟，记录用户请求的实际响应结果。 两条事件需要结合在一起，才能反映用户本次操作的真实结果。 为什么在事件列表中按照操作用户进行筛选时，存在useraccount/opservice用户？ 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时，可能存在用户自身的权限不足的问题，因此在确保符合安全要求的前提下，会临时对该请求中的用户身份进行提权，请求完成后提权结束，但会将提权行为记录到该请求发送到CTS的日志当中，此时的操作用户将记录为useraccount/opservice。

本文介绍一些关于RDSPostgreSQL的开发运维建议。 参数部分 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。 修改敏感参数，不当设置会导致信息泄露。例如参数 logstatement，可能会在日志输出中带有敏感信息，若无必要可以设置为none。 性能参数，不当设置会导致无意义的数据库空转或者阻塞，导致读写性能下降。例如参数autovacuum，频率过高会导致占用时间过长，降低实例性能，而频率过低可能会引起清理速度赶不上读写速度，最终导致xid回卷。 数据库重复操作开销 使用连接池。过多的数据库连接会占用宝贵的内存资源，反复创建与销毁连接会增大切换的开销。因而在不影响实际应用的情况下，降低连接数量有利于系统性能优化。业务系统在不影响的情况下，应尽量使用连接池，避免反复创建过多连接，使数据库负荷过重。 使用较大的事务批量处理数据。在不要求分段确认且成功率高的场景下，业务系统应将适当数量的语句放在一个事务内执行，减少反复提交事务的开销。一般的关系型数据库进行事务回滚会有较大时间开销，但关系数据库PostgreSQL版的特性即是回滚时间与事务大小无关，因而事务语句数量阈值相较于其他数据库可以更大一些。

本文介绍了数据库安全设置相关说明。 密码复杂度要求 RDSPostgreSQL实例要求数据库用户密码复杂度需要符合以下要求： 长度为832个字符。 由大写字母、小写字母、数字、特殊字符中的任意三种组成。 特殊字符为!@$%^&~()+。 创建用户建议 用户在使用CREATE USER或CREATE ROLE命令时，建议制定VALID UNTIL 'timestamp' 参数，设置用户密码的过期时间。 账户说明 您在创建RDSPostgreSQL实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 如果试图删掉、重命名、修改这些帐户的密码和权限，会导致实例出错，请谨慎操作。 Ⅱ类资源池实例系统账户 ctgadmin：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、恢复等操作。 ctgagent：高可用功能专用账号，用于高可用组件对实例进行相关操作。 ctgbackup：备份功能专用帐户，用于后台的备份。 ctgmonitor：监控采集专用账户，用于读取各种监控视图。 ctgproxy：数据库代理组件专用账号，用于数据库代理组件对实例进行相关操作。 Ⅰ类资源池实例系统账户 telepg：管理帐户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查等操作。 repmgr：高可用功能专用账号，用于高可用组件对实例进行相关操作。 rdsorzdba：监控采集专用账户，用于读取各种监控视图。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

本章节指导您快速创建后端服务为FunctionGraph的API，并通过APIG安全认证中的“自定义认证”鉴权方式进行调用。 方案概述 1. 登录FunctionGraph控制台，创建函数，并将其定义为自定义认证函数。 2. 登录FunctionGraph控制台，创建一个业务函数。 3. 购买APIG专享版实例，并在其中创建一个API分组，用来存放API。 4. 创建一个鉴权方式为自定义认证且后端为FunctionGraph的API。 5. 调试API。 构建程序 创建API分组 创建函数及添加事件源之前，需要先创建一个API分组，API分组是API的管理单元，用来存放API。 1. 登录APIG控制台，右上角单击“立即购买专享版”，配置详情请参见《API网关(APIG) 快速入门》的“购买专享版实例”章节。 2. 选择已创建的APIG专享版实例，并在导航栏选择“API管理 > API分组”，单击“创建API分组”。 3. 选择直接创建，设置以下分组信息，完成后单击“确定”创建分组。 1. 输入您自定义的分组名称，例如APIGrouptest。 2. 描述：输入对分组的描述。 创建自定义认证函数 前端自定义认证指APIG利用校验函数对收到的API请求进行安全认证，如果您想要使用自己的认证系统对API的访问进行认证鉴权，您可以在API管理中创建一个前端自定义认证来实现此功能。您需要先在FunctionGraph创建一个函数，通过函数定义您所需的认证信息，函数创建成功后，即可对API网关中的API进行认证鉴权。本示例以Header中的请求参数：event["headers"]，为例进行演示。 1. 进入函数工作流控制台后，在左侧导航栏选择“函数 > 函数列表”，进入函数列表界面。 2. 单击“创建函数”，进入创建函数流程。 3. 填写函数配置信息，完成后单击“创建函数”。 1. 模板：选择“使用空白模板”。 2. 函数类型：事件函数。 3. 函数名称：输入您自定义的函数名称，例如：apigtest。 4. 委托名称：选择“未使用任何委托”。 5. 运行时语言：选择“Python 2.7”。 4. 进入函数详情页，在“代码”页签，进行代码在线编辑。 5. 配置测试事件，测试用于前端自定义认证的函数。单击“配置测试事件”，选择事件模板。根据实际情况修改后保存测试模板(本示例在"headers"中添加"auth":"abc"），完成后单击“创建”。 图 配置测试事件 6. 单击“测试”，执行结果为“成功”时，表示自定义认证函数创建成功。

本节介绍了安装并配置CloudbaseInit工具的操作场景、前提条件、安装CloudbaseInit工具、配置CloudbaseInit工具。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），建议您在创建私有镜像前安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudbaseInit，不需要执行安装及配置操作。 使用外部镜像文件创建的云主机，请按照指导安装及配置CloudbaseInit。 前提条件 已为云主机绑定弹性公网IP。 已登录到云主机。 云主机的网卡属性为DHCP方式。 已安装一键式重置密码插件。 因为安装CloudbaseInit工具的操作步骤中如果有重启云主机的操作，可能导致密码被修改为一个随机密码，所以需要安装一键式重置密码插件重置密码。操作步骤请参考安装一键式重置密码插件。 安装CloudbaseInit工具 1. 在Windows操作系统中，单击“开始”，选择“控制面板 > 程序 > 程序和功能”查看是否安装CloudbaseInit。 − 是，无需重复安装，直接执行下文“配置CloudbaseInit工具”。 − 否，执行以下安装操作步骤。 2. 操作系统是否为Windows桌面版。 − 是，执行3。 − 否，若操作系统为Windows Server版本，请执行4。 3. 如果操作系统是Windows桌面版，如Windows 7或者Windows 10，那么需要在安装CloudbaseInit前确保Adminstrator账号未禁用。以Windows 7为例，具体操作请以实际为准。 a. 在操作系统中单击“开始”，选择的“控制面板 > 系统和安全 > 管理工具”。 b. 双击“计算机管理”。 c. 选择“系统工具 > 本地用户和组 > 用户”。 d. 右键单击“Administrator”，选择“属性”。 e. 确认已取消勾选“账户已禁用”选项。 4. 下载CloudbaseInit工具安装包。 根据Windows操作系统的不同位数，您需要下载不同版本的CloudbaseInit工具安装包。Cloudbase官网： CloudbaseInit分为稳定版本和Beta版本两种。 稳定版本获取路径： − 64位： − 32位： Beta版本获取路径： − 64位： − 32位： 5. 双击打开CloudbaseInit工具安装包开始安装。 6. 单击“Next”。 7. 勾选“I accept the terms in the License Agreement”，单击“Next”。 8. 使用CloudbaseInit默认安装路径进行安装，单击“Next”。 9. 在“Configuration options”窗口中，设置用户名为“Administrator”，日志输出串口选择“COM1”，且不勾选“Run CloudbaseInit service as LocalSystem”。如下图所示。 说明： 图片中的版本号仅供参考，请以实际情况为准。 设置参数 10. 单击“Next”。 11. 单击“Install”。 12. 在“Files in Use”窗口保留默认勾选“Close the application and attempt to restart them”，单击“OK”。 13. 操作系统是否为Windows桌面版。 − 是，执行15。 − 否，执行14。 14. 在“Completed the CloudbaseInit Setup Wizard ”窗口，请勿勾选“Run Sysprep to create a generalized Image. This is necessary if you plan to duplicate this instance, for example by creating a Glance image”及“Shutdown when Sysprep terminate”。如下图所示。 完成安装 说明： 图片中的版本号仅供参考，请以实际情况为准。 15. 单击“Finish”。

本文主要介绍 导出Topic。 本章节指导您在控制台导出Topic，支持批量导出。 前提条件 已创建Topic。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 选择“Topic管理”页签，显示已创建的Topic详情。 步骤 6 在页面右上角单击，导出Topic列表到本地。 Topic列表中包含如下信息：Topic名称、分区数、副本数、老化时间、是否同步复制或同步落盘。

问题原因 为避免Agent负载过高，影响主机上的其他业务，云监控服务在Agent占用CPU或内存过高时，提供了熔断机制。当Agent负载过高时，会自动触发熔断，触发熔断机制后，Agent暂时停止工作，不上报监控数据。 熔断机制原理 默认情况下，Agent检测机制为： 1分钟查检测一次Agent是否超过第二阈值（占用CPU超过30%或占用内存超过700M）。如果CPU或内存任何一个超出，Agent直接退出：如果没有超过第二阈值，查看Agent是否超过第一阈值（占用CPU超过10%或占用内存超过200M），连续三次超过第一阈值，则退出Agent进程并记录。 退出后，守护进程会自动拉起Agent进程，首先检测退出记录，如果有连续三次退出记录，则休眠20分钟，休眠期间，不会采集监控数据。 当主机挂载磁盘数量较多时，Agent占用的CPU或内存可能较高。您可以根据实际观测主机的资源占用率，参考下文操作，配置Agent熔断机制中的第一阈值和第二阈值。 操作步骤 1. 使用root帐号，登录Agent不上报数据的ECS或BMS。 2. 执行以下命令，切换至Agent安装路径的bin下。 cd /usr/local/telescope/bin 说明 Windows系统下为telescopewindowsamd64bin目录。 3. 修改配置文件conf.json。 a. 执行以下命令，打开配置文件conf.json。 vi conf.json b. 在conf.json文件中，添加如下四行参数，具体参数请参见下表。 表 参数说明 参数 说明 cpufirstpctthreshold 第一阈值（CPU），若Agent进程^a^的CPU使用率为20%左右，此处建议配置为35，单位为%。说明 Agent的CPU使用率和内存使用率查询方法： Linux： top ptelescope的PIDWindows： 在任务管理器中查看Agent进程详情。 memoryfirstthreshold 第一阈值（内存），若Agent进程使用的内存大小为100M左右，此处建议配置为314572800（300MB），单位为Byte。 cpusecondpctthreshold 第二阈值（CPU），若Agent进程的CPU使用率为20%左右，此处建议配置为55，单位为%。 memorysecondthreshold 第二阈值（内存），若Agent进程使用的内存大小为100M左右，此处建议配置为734003200（700MB），单位为Byte。 json { "InstanceId":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "ProjectId":"b5b92ee0xxxxxxxxxxxxxxxxcab92396", "AccessKey":"QZ0XGJXFxxxxxxxxT65R", "SecretKey":"lEv2aXAGwxxxxxxxxxxxxxxxxxxxxF8t0Bf18Tn2", "RegionId":"cnhz1", "cpufirstpctthreshold":35, "memoryfirstthreshold":314572800, "cpusecondpctthreshold":70, "memorysecondthreshold":734003200 } c. 执行如下命令，保存并退出conf.json文件。 :wq 4.请执行如下命令，重启Agent。 /usr/local/telescope/telescoped restart

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据管理服务DMS登录MySQL实例。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前置条件 创建数据库实例可参考：创建关系数据库MySQL版实例。 创建数据库用户：已创建数据库用户。 操作步骤 注意 目前并非所有资源池都支持RDS直接登录数据管理服务DMS的功能，当前支持该功能的资源池，请参见 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页面，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 登录DMS，根据实际情况对数据库实例进行管理。

名称 类型 描述 targetName String iSCSI target名称。 maxSessions Integer iSCSI target下每个IQN允许建立的最大会话数。 iSCSITargets Array of iSCSITarget iSCSI target属性集合，详见“ 表2 响应参数iSCSITarget说明 ”。 chap.name String CHAP认证名称。 chap.status String CHAP认证状态： Enabled：启用CHAP认证。 Disabled：禁用CHAP认证。 createTime Long 创建iSCSI target的时间，unix时间戳（UTC），精确到毫秒。 serverIds Array of string iSCSI target对应的服务器ID（仅集群版支持）。 num Integer target所在的服务器数量（仅集群版支持）。 reclaimPolicy String iSCSI target的回收策略： Delete：当iSCSI target关联的卷全部删除后，iSCSI target自动删除。 Retain：当iSCSI target关联的卷全部删除后，iSCSI target仍然保留。 status String iSCSI target的状态： Deleting：iSCSI target正在删除。 仅iSCSI target处于删除中会返回此项。

本章主要介绍开发API流程。 作为API提供者开放API，您需要先后完成以下流程： 1. 创建实例。 使用API网关专享版，需要购买专享版实例。 2. 创建API分组 API分组相当于API的集合，您在创建API前，需要先创建API分组。 3. 绑定域名 开放API前，您需要为API分组绑定独立域名（即自定义域名），API调用者通过访问独立域名来调用您开放的API。 4. 创建API 创建API包括定义API前后端的请求路径、参数、请求相关协议等。 5. 调试API 提供调试功能，调试API接口，验证服务是否正常。 6. 创建环境（可选） API可以同时提供给不同的场景调用，如生产环境（RELEASE）及其他自定义环境。RELEASE是默认存在的环境，无需创建。 7. 发布API 只有在将API发布到环境后，API才支持被调用。

本文主要介绍删除流控。 操作场景 本章节指导您在无需流控时，删除流控。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏单击“流控管理 > 流控列表”，进入流控列表页面。 步骤 6 在待删除的流控所在行，单击“删除”，弹出“删除流控”对话框。 步骤 7 单击“是”，跳转到“后台任务管理”页面，当流控任务的“状态”为“成功”时，表示成功删除流控。

参数 描述 区域 资源所在的区域。 说明 不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 数据库引擎 PostgreSQL。 数据库版本 请参见 实例类型+可用区 主备：一主一备的经典高可用架构。适用于大中型企业的生产数据库，覆盖互联网、物联网、零售电商、物流、游戏等行业应用。备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 RDS支持在同一个可用区内或者跨可用区部署数据库主备实例，以提供故障切换能力和高可用性。 单机：采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。适用于个人学习、微型网站以及中小企业的开发测试环境。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。

本章节主要介绍ALM12102 AZ高可用组件未按容灾需求部署。 告警解释 告警模块按照5分钟周期检测AZ高可用组件部署状态。当开启AZ后，支持容灾的组件未按容灾需求部署时产生该告警。组件恢复按容灾需求部署时，告警清除。 告警属性 告警ID 告警级别 是否自动清除 12102 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 对系统的影响 影响单集群跨AZ的高可用能力。 可能原因 支持容灾的组件角色未按容灾需求部署。 处理步骤 获取告警的信息 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”。 2.在告警列表，单击此告警所在行的，从“附加信息”查看未按容灾需求部署的角色名。 重新部署角色实例 3.选择“集群 > 服务 > 待操作服务名>实例”，在实例页面，重新部署或调整该角色实例。 4.等待10分钟，检查该告警是否恢复。 是，处理完毕。 否，请联系运维人员。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

参数名称 说明 参数配置 Query的参数与参数值。 集群配置 仅专享版支持，选择调试API所依托的实例。

本节主要介绍如何在智能视图服务控制台使用电子地图的相关操作。 添加电子地图 点击【添加地图】，输入地图名称和中心点经纬度，可设置默认缩放比例，在【更多设置】中可以选择【启用鹰眼地图】、【启用3D地图】、【显示点位名称】、【是否启用蒙版】等配置。 默认缩放比例：表示每厘米对应实际的距离。 显示点位名称：在点位图标下显示设备名称。 是否启用蒙版：启用蒙版后，多边形区域会变为镂空风格。 是否启用业务组聚合：当地图缩放比例小于15（1：200m）时，会根据设备所在的业务组进行聚合。 是否启用相邻点聚合：对相邻的监控点位进行聚合。 地图基础操作 添加电子地图，默认为标准图层显示，左下角支持用户切换为卫星地图，可勾选显示路网和路况。 电子地图支持以下基础操作： 旋转：红框1中点击球形左右箭头，可实现对地图的上下旋转和左右旋转。 平移：开启鹰眼地图，红框2可选中蓝色透明长方形进行拖拽，地图主界面也随之移动，点击小地图右下角箭头，可隐藏小地图。 放大缩小：鼠标移动至红框3地图主界面，通过鼠标滚轮实现地图放大缩小。 全屏：点击地图右上角即可进入全屏界面，按Esc键退出全屏。 俯仰角调整：开启3D地图，点击地图右上角白色框体内箭头，如下图红色框体内的红色圆圈位置，即可实现更改地图俯仰角，点击球形中心可将地图从任意位置变为正北向俯视图。

媒体存储满足海量视频、图片及其它非结构化数据存取、处理及弹性扩展要求等场景。 应用场景 场景优势 场景示例 搭配产品/功能指引 视频监控存储 不限制存储空间大小，可根据所需存储量弹性扩展存储空间。 属地化建设与服务，支持专网接入，保障客户数据安全。 提供标准化存储协议，应用无缝接入。 智能视图服务 线上教育培训 支持防盗链，黑白名单等多重安全保护措施。 推荐搭配云点播服务，提供媒资管理一站式服务，支持海量媒资记录检索。 转码等媒体处理能力与存储服务共址建设。 推荐搭配CDN加速服务，快速对接加速分发，保证热点内容观看体验。 云点播 CDN加速 企业视图存储应用 支持海量数据存储，能够处理高并发的数据读写操作。 支持弹性扩展，根据容量和性能付费，无需预先投入大量硬件资源。 自动化的数据生命周期管理实现冷热数据分离，节省成本。 高可用性和异地容灾备份，满足业务连续性的要求。 提供多重安全措施和数据冗余措施，包括加密传输、权限控制和数据跨区备份等。 提供多种存储接入协议，兼容多类上层应用的接入和使用需求。 数据迁移 支持主流厂商的数据迁移。 可灵活配置迁移规则，支持多种迁移策略以及数据覆盖规则。 采用HTTPS数据加密通道，保证迁移传输安全。 数据迁移 数据云上备份 因业务运行需要，希望所有写入媒体存储的数据能够在另一存储区域进行备份，以防止在数据发生不可逆损毁时，有安全、可用的备份数据，可实时切换业务访问路径，保证业务不中断。 存储桶复制 图片文件处理 媒体存储提供一体化图片处理能力以及视频截帧能力，用户上传文件后，可对图片或视频文件进行数据处理，如：图片裁剪、图片缩放、水印、视频截帧等。 数据处理

本页介绍了关系数据库MySQL版产品如何设置安全组规则。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本章节向您介绍VPN连接故障排查的常规检查项，帮助您快速定位并解决连接问题。 用户在使用VPN连接经典版过程中，可能会出现由于配置错误（云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置）而导致连接故障或无法PING通。 检查VPN两侧协商信息 确认PSK共享密钥是否一致。 确认IKE策略、IPsec策略协商参数是否一致。 确认两侧的本地子网和远端子网配置是否互为镜像。 检查客户防火墙ACL和云端安全组配置 确认放行去往天翼云VPC子网的数据流。 确认放行来自天翼云VPC子网的数据流。 检查防火墙路由表 确认存在目标地址为天翼云VPC子网的路由信息： 确认配置去往天翼云目标网络的路由信息，路由表或VPN路由表中存在路由信息。 确认路由转发表状态正常。 注意 路由易错配置： 目的网段与天翼云VPC网段不一致，导致前往天翼云的流量无法路由到配置IPsec策略的公网口。 配置静态路由时指定出接口，而非指定下一跳。在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。 将路由的下一跳地址指定为天翼云端的VPN网关地址。部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。 检查客户防火墙域间策略 trust到untrust：放行本地VPC到云上VPC子网访问策略。 untrust到trust：放行云上VPC到本地VPC子网访问策略。

高亮显示 (Highlighting) 高亮显示用于在搜索结果中突出显示匹配的关键词。 GET /myindex/search { "query": { "match": { "content": "OpenSearch" } }, "highlight": { "fields": { "content": {} } } } 该查询会在搜索结果中高亮显示 content 字段中匹配到的 "OpenSearch" 关键词。 以上是一些OpenSearch的基础搜索语法示例，这些语法能够帮助你进行有效的数据查询。根据你的业务需求，你可以进一步组合这些查询来实现更复杂的搜索功能。