相关服务 交互功能 弹性云主机（ECS） 云数据库GaussDB服务通过弹性云主机（Elastic Cloud Server，简称ECS）远程连接云数据库GaussDB可以有效的降低应用响应时间。 虚拟私有云（VPC） 对您的云数据库GaussDB实例进行网络隔离和访问控制。 对象存储服务（OBS） 存储云数据库GaussDB实例的自动和手动备份数据。

本文介绍函数运行时的Web标准API。 运行时提供以下标准化API，供边缘运行的用户函数使用。 JavaScript标准内置对象 JavaScript内置对象都可使用。但下面这些例外： 注意 eval()出于安全原因，不允许使用。 uneval()出于安全原因，不允许使用。 new Function出于安全原因，不允许使用。 值属性 这些全局属性返回一个简单值，这些值没有自己的属性和方法。 globalThis Infinity NaN undefined 函数属性 全局函数可以直接调用，不需要在调用时指定所属对象，执行结束后会将结果直接返回给调用者。 eval()出于安全原因，不允许使用。 uneval()出于安全原因，不允许使用。 isFinite() isNaN() parseFloat() parseInt() decodeURI() decodeURIComponent() encodeURI() encodeURIComponent() 基本对象 顾名思义，基本对象是定义或使用其他对象的基础。基本对象包括一般对象、函数对象和错误对象。 Object Function （new Function出于安全原因，不允许使用。） Boolean Symbol 错误对象 错误对象是一种特殊的基本对象。它们拥有基本的Error类型，同时也有多种具体的错误类型。 Error RangeError ReferenceError SyntaxError TypeError URIError AggregateError InternalError 数字和日期对象 用来表示数字、日期和执行数学计算的对象。 Number BigInt Math Date 字符串 用来表示和操作字符串的对象。 String RegExp 可索引的集合对象 这些对象表示按照索引值来排序的数据集合，包括数组和类型数组，以及类数组结构的对象。 Array Int8Array Uint8Array Uint8ClampedArray Int16Array Uint16Array Int32Array Uint32Array Float32Array Float64Array BigInt64Array BigUint64Array

配置类型 配置模块 说明 相关文档 安全防护 Web基础防护 覆盖OWASP常见安全威胁，支持SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入等攻击检测和拦截。 安全防护 CC防护 CC防护支持默认防护策略及灵活的自定义防护策略。自定义策略支持依托精准访问控制规则进行特征识别，并根据访问源IP/ SESSION控制访问频率，恶意流量通过阻断、人机验证等处置手段有效缓解CC攻击。 安全防护 精准访问控制 支持基于IP、URL、Referer、UserAgent等请求特征进行多维度组合，定义访问匹配条件过滤访问请求，实现针对性的攻击阻断。 安全防护 IP黑白名单 支持添加始终拦截与始终放行的黑白名单IP/IP地址段，增强防御准确性。 安全防护 地域访问控制 支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。 系统配置 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。

本节介绍如何查看集群安全检查结果。 查看统计信息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 点击数据统计切换按钮，可分别查看个检查项的数据统计图和环形图占比。 查看检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 在安全检查页面下方，可查看各项检查项的检查结果。 安全检查信息参数说明： 参数 解释说明 检查项 检查项的名称。 分类 检查项所属类型，包括信息泄露、危险访问、远程代码执行、特权升级、拒绝服务等多种类型。 描述 检查项的描述信息。 危害级别 危害级别分为高危、中危、低危。 影响节点数量 受该安全漏洞影响的节点数量。 点击数量，可查看受影响的节点名称。 检查是否通过 集群在该项安全检查中是否通过。

问题描述 弹性云主机创建成功后，使用free m命令查询内存大小，查询结果与实际配置不符，较之创建时的配置要小一些。 问题原因 首先，系统启动时会初始化相关设备，该过程会占用内存，内核启动时，也会占用一部分的内存。其中，kdump占用的内存是可以自行设置的，如无特殊要求，请勿自行修改kdump占用的内存大小。 其次，free m命令查询的是弹性云主机的可用内存，dmidecode t memory命令查询的是实际硬件内存大小。 因此，使用free m命令查询到的内存大小比实际的要小一些，属于正常情况，非问题。

本节为您介绍如何批量导入与查看迁移源机信息。 批量导入迁移源 迁移源通过CMSAgent上报至平台进行管理，以此作为迁移任务配置的前置条件，由于存在大型项目迁移源多，导入流程繁杂场景；CMS支持通过Excel模板批量导入源机和目标机对应关系，避免页面重复操作实现迁移源快速上报与绑定。 如果您需要执行一批迁移任务，可以使用“导入excel”批量绑定目的机。 前提条件 迁移源端可用。 进入服务器迁移服务控制中心。 操作步骤 1. 在主机管理页面的上方，点击“下载导入模板”按钮以获取主机导入模板。 2. 打开在本机下载好的“主机导入模板”。 3. 您可在此处自定义或留空源机别名，并输入源机IP及对应需要绑定的目标机ID。 4. 查看迁移源机IP，填在上表“源机IP”列。 5. 查看目标机ID，填在上表“目标机ID”列。 6. 单击“导入excel”，拖拽上传填好的“主机导入模板”。 7. 导入成功后，界面提示“导入成功，详情请查看导入日志”。 8. 可在“主机管理”列表看到源机导入成功。 9. 可在上方“导入日志”查看本次导入记录及详情。

检查阈值设置是否合理 1.在FusionInsight Manager，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写吞吐率”，查看该告警阈值是否合理（默认80%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤4。 否，执行步骤2。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写吞吐率”，单击“操作”列的“修改”更改告警阈值。 如下图所示： 3.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤4。 检查网口速率是否满足需求 4.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的，获取告警所在主机地址及网口。 5.以root用户登录告警所在主机。 6.执行命令ethtool 网口名称 ，查看当前网口速率最大值Speed。 说明 对于虚拟机环境，通过命令可能无法查询到网口速率，建议直接联系系统管理确认网口速率是否满足需求。 7.若网络写吞吐率超过阈值，直接联系系统管理员，提升网口速率。 8.检查该告警是否恢复。 是，处理完毕。 否，执行步骤9。 收集故障信息 9.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 10.在“服务”中勾选“OMS”，单击“确定”。 11.设置“主机”为告警所在节点和主OMS节点。 12.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后30分钟，单击“下载”。 13.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

检查阈值设置是否合理 1.在FusionInsight Manager，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络读信息 > 读吞吐率”，查看该告警阈值是否不合理（默认80%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤2。 否，执行步骤4。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络读信息 > 读吞吐率”，单击“操作”列的“修改”更改告警阈值。 3.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤4。 检查网口速率是否满足需求 4.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的，获取告警所在主机地址及网口名称。 5.以root用户登录告警所在主机。 6.执行命令ethtool 网口名称 ，查看当前网口速率最大值Speed。 说明 对于虚拟机环境，通过命令可能无法查询到网口速率，建议直接联系系统管理确认网口速率是否满足需求。 7.若网络读吞吐率超过阈值，直接联系系统管理员，提升网口速率。 8.检查该告警是否恢复。 是，处理完毕。 否，执行步骤9。 收集故障信息 9.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 10.在“服务”中勾选“OMS”，单击“确定”。 11.设置“主机”为告警所在节点和主OMS节点。 12.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后30分钟，单击“下载”。 13.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节介绍如何创建一个ZooKeeper引擎实例 概述 微服务注册中心ZooKeeper是一个分布式应用程序协调服务，是 Google Chubby 的开源实现。利用ZooKeeper的存储配置，实现配置信息的集中式管理和数据的动态更新，保证数据一致性。MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，前者适用于开发测试，后者致力于在性能、可观测和高可用方面做了诸多提升，用于生产环境。 本文将介绍如何创建一个ZooKeeper引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”，推荐您开通集群版，以保障实例的高可用性； 引擎类型：若您需要开通ZooKeeper引擎，则选中“ZooKeeper”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本节主要介绍编辑登录规则和清除登录规则。 点击“访问控制”>“安全设置”，进入“安全设置”页面，在“登录安全设置”处可以进行编辑登录规则和清除登录规则。 登录策略是一组规则，定义IAM用户可以设置的登录类型，该规则将应用于IAM用户设置登录规则。 编辑登录规则 在“登录安全设置处”点击“编辑登录规则”，可以对IAM用户登录规则进行重新设置。 项目 描述 :: 限定登录时长 登录失败次数的限定时间。如果在限定登录时长内IAM用户达到登录失败次数后，会被锁定一段时间，锁定时间结束后，才能重新登录。 取值：整数形式，[15, 60]，单位是分钟。 登录失败次数 IAM用户在限定时间内允许连续登录失败的次数。 取值：整数形式，[5, 10]。 锁定时间长度 IAM用户被锁定的时间。 取值：整数形式，[15, 60]，单位是分钟。 是否允许单用户同时多点登录 是否允许IAM用户同一时刻在多个客户端登录。当配置为不允许时，则IAM用户不能同时在多个客户端登录，即最后一次的登录会保持，之前的登录将被强制下线。系统默认配置为允许。 登录Session过期时间长度 IAM用户登录控制台后，在无任何操作时，保存会话的时间长度。 取值：整数形式，[10, 30]，单位是分钟。 清除登录规则 在“登录安全设置”处点击“清除登录规则”，改为默认登录规则。默认登录规则为： 限定时间长度：15分钟。 登录失败次数：5。 锁定时间长度：15分钟。 是否允许单用户同时单点登录：允许。 登录Session过期时间长度：30分钟。

参数 类型 是否必填 名称 说明 domain list<string> 是 域名列表 单次调用域名个数最多不超过20个，相同域名去重 productcode string 是 产品业务类型 “006”（全站加速） wafenable int 否 是否开启安全WAF防护 1（启用）； 2（关闭）。仅适用productcode 为"007"（安全加速）时才生效，且productcode 为"007"（安全加速）时，wafenable和ddosenable至少启用一个 ddosenable int 否 是否开启安全抗D服务 1（启用）； 2（关闭）。仅适用productcode 为"007"（安全加速）时才生效，且productcode 为"007"（安全加速）时，wafenable和ddosenable至少启用一个,且调用本接口开启安全抗D服务后，仍需人工处理，请创建后联系专属售后运营人员处理。 areascope int 否 加速范围 1（国内）；2（海外）； 3（国内+海外），不填默认为1 ipv6enable int 否 ipv6启用 1（启用）； 2（关闭），不传默认开启 origin list<object> 是 源站信息 origin[].origin string 是 源站ip或域名 origin[].port int 是 源站端口 支持http自定义端口，http不支持下发443端口 origin[].weight int 是 权重 范围：1100 origin[].role string 是 源站角色 取值: master, slave xosoriginis int 否 是否开启云存储XOS源站配置功能 枚举值：0（关闭）， 1（开启）；默认0 xosorigin object 否 云存储XOS源站信息 当xosoriginis为1的时候，xosorigin必传 xosorigin[].origin string 是 云存储XOS源站 xosorigin[].ak string 否 云存储XOS源站加密ak ak与sk必须同时填写 xosorigin[].sk string 否 云存储XOS源站加密sk ak与sk必须同时填写

本章节介绍了云硬盘备份与其他云服务的关系。 弹性云硬盘（EVS） 为云硬盘提供数据备份功能，同时，可以使用云硬盘备份创建新的云硬盘。 云主机备份（CSBS） 云主机备份和云硬盘备份均属于备份服务，为租户数据提供备份保护，CSBS产生的备份会同时显示在云硬盘备份界面。

本文带您了解云硬盘的使用状态。 云硬盘的使用状态具体如下表： 状态分类 云硬盘状态 状态说明 操作说明 中间状态资源类 创建中 该云硬盘正在创建中。 操作限制以控制台为准。 中间状态资源类 挂载中 已创建的云硬盘正在挂载至弹性云主机或物理机中。 操作限制以控制台为准。 中间状态资源类 卸载中 正在将云硬盘从弹性云主机或物理机上卸载下来。 操作限制以控制台为准。 中间状态资源类 删除中/退订中 按需/包年包月购买的云硬盘正在删除/退订。 操作限制以控制台为准。 中间状态资源类 销毁中 已到期/已冻结的云硬盘正在被销毁中。 操作限制以控制台为准。 中间状态资源类 扩容中 为云硬盘增加容量中。 操作限制以控制台为准。 中间状态资源类 修改磁盘类型中 正在修改云硬盘的磁盘类型。 操作限制以控制台为准。 中间状态资源类 备份创建中 该云硬盘正在创建备份。 操作限制以控制台为准。 中间状态资源类 备份恢复中 该云硬盘正在从备份恢复数据中。 操作限制以控制台为准。 中间状态资源类 快照创建中 该云硬盘正在创建快照。 操作限制以控制台为准。 中间状态资源类 回滚中 正在使用云硬盘快照回滚数据中。 操作限制以控制台为准。 中间状态资源类 镜像制作中 该云硬盘正在创建镜像。 操作限制以控制台为准。 中间状态资源类 加组中 该云硬盘正在被加入一致性组中。 操作限制以控制台为准。 非中间状态资源类 已挂载 该云硬盘已挂载至弹性云主机或物理机。 操作限制以控制台为准。 非中间状态资源类 未挂载 该云硬盘未挂载至弹性云主机或物理机。 操作限制以控制台为准。 中间状态计费类 主订单未完成 随主机购买的云硬盘未完成，正在订单支付中。 操作限制以控制台为准。 中间状态计费类 主订单退订中 随主机购买的云硬盘订单正在退订中。 操作限制以控制台为准。 中间状态计费类 主订单已退订 随主机购买的云硬盘订单已退订。 操作限制以控制台为准。 非中间状态计费类 未实名认证 账户未实名认证，导致部分功能受限。 操作限制以控制台为准。 非中间状态计费类 已冻结 按需订购的云硬盘，在用户账户欠费后，云硬盘将进入冻结期，此时云硬盘状态为“已冻结”。 操作限制以控制台为准。 非中间状态计费类 已到期 包周期订购的云硬盘到期后，云硬盘将进入保留期，此时云硬盘状态为“已到期”。 操作限制以控制台为准。 异常状态 错误 云硬盘出现错误状态，可通过提交工单来解决。 操作限制以控制台为准。 异常状态 恢复失败 该云硬盘从备份恢复数据失败。 操作限制以控制台为准。

本节为您介绍迁移网络与时长相关问题。 CMS迁移的网络需要具备哪些条件？ 源机、目标机需要能访问平台； 源机需要能够访问目标机； 由于迁移环境在公网上，可能会遭遇DDoS攻击，导致目标机PE系统内存溢出，目标机需要配置安全组策略，目标机入方向需放通8000（数据）、8001（控制）端口； 源机无需开通端口，但建议源端检查出方向是否放通所有端口。 具体步骤请参见检测目标机。 如何配置安全组 1. 进入安全组配置界面。 2. 展开安全组并单击“添加规则”。 3. 配置目标机入方向8000端口。 4. 再次单击“添加规则”按钮，配置目标机入方向8001端口。 5. 可以查看创建好的安全组规则。 为什么绑定目标机时提示：错误信息xx：源机IP(xx)：与目标机通信时出错：获取部署结果超时,检查目标机系统是否为linux x8664PE系统？ 您需要检查目标机系统是否正确； 您需要检查安全组是否放通，具体步骤请参见检测目标机。

可修改项 说明 实例名称 填写实例的名称，根据规划自定义。 描述 填写实例的描述信息。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明： 更换安全组时，新的安全组须满足专享版实例的前端API调用以及访问后端服务所需出入规则。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 弹性IP地址 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。 可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 出口地址 指允许专享版实例API的后端服务部署在外部网络，API网关为实例开启公网出口。公网出口可随时关闭或开启。 出公网带宽 出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性公网IP服务的价格为准。

本节介绍了云容器引擎的产品优势。 大规模实践 电信IT系统大规模应用落地，集群部署规模近千套。 以应用为中心 结合微服务云应用平台帮助用户快速开发、构建、部署和运维分布式应用，提供一站式容器服务。 简单易用 一键创建 Kubernetes 集群，基于控制台轻松地实现 Kubernetes 集群的扩容和缩容。 安全稳定 支持高可用部署，提供集群备份恢复插件和安全容器能力，保障应用安全运行。

本章节主要介绍安全认证原理和认证机制。 功能 开启了 Kerberos认证的安全模式集群，进行应用开发时需要进行安全认证。 Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”，后来沿用作为安全认证的概念，使用Kerberos的系统在设计上采用“客户端/服务器”结构与AES等加密技术，并且能够进行相互认证（即客户端和服务器端均可对对方进行身份认证）。可以用于防止窃听、防止replay攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。 结构 Kerberos的原理架构如下图所示，各模块的说明如下图所示。 原理架构 模块说明 模块 说明 Application Client 应用客户端，通常是需要提交任务（或者作业）的应用程序。 Application Server 应用服务端，通常是应用客户端需要访问的应用程序。 Kerberos 提供安全认证的服务。 KerberosAdmin 提供认证用户管理的进程。 KerberosServer 提供认证票据分发的进程。 步骤原理说明： 应用客户端（Application Client）可以是集群内某个服务，也可以是客户二次开发的一个应用程序，应用程序可以向应用服务提交任务或者作业。 1. 应用程序在提交任务或者作业前，需要向Kerberos服务申请TGT（TicketGranting Ticket），用于建立和Kerberos服务器的安全会话。 2. Kerberos服务在收到TGT请求后，会解析其中的参数来生成对应的TGT，使用客户端指定的用户名的密钥进行加密响应消息。 3. 应用客户端收到TGT响应消息后，解析获取TGT，此时，再由应用客户端（通常是rpc底层）向Kerberos服务获取应用服务端的ST（Server Ticket）。 4. Kerberos服务在收到ST请求后，校验其中的TGT合法后，生成对应的应用服务的ST，再使用应用服务密钥将响应消息进行加密处理。 5. 应用客户端收到ST响应消息后，将ST打包到发给应用服务的消息里面传输给对应的应用服务端（Application Server）。 6. 应用服务端收到请求后，使用本端应用服务对应的密钥解析其中的ST，并校验成功后，本次请求合法通过。

功能 说明 天翼云边缘安全加速平台—安全与加速服务提供页面优化功能，配置了页面优化功能后，安全与加速服务会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。此外还可通过文件压缩功能进行有效提升分发效率，详情文件压缩功能参见 支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。

参数 是否必选 说明 Python或脚本 是 可以选择Python语句或Python脚本。 Python语句 单击“Python语句”参数下的文本框，在“Python语句”页面输入需要执行的Python语句。 Python脚本 在“脚本路径”参数后选择需要执行的脚本。 如果脚本未创建，请参考 说明 若选择Python语句方式，数据开发模块将无法解析您输入Python语句中携带的参数。 主机连接 是 选择执行Python语句的主机。需确认该主机配有用于执行Python脚本的环境。 节点名称 是 节点名称，只能包含英文字母、数字、中文字符、中划线、下划线、/、<>和点号，且长度小于等于128个字符。

限制 说明 VPC对等连接使用范围 同地域下两个VPC之间的内网互通，不支持跨地域，对应VPC可属于同账号或者不同账号。 网段重叠限制 对等连接下的两个VPC网段建议不要重叠。 安全组网段放通 需要在本端关联的安全组放通对端网段，在对端关联的安全组放通本端网段。

本文介绍如何查看容器列表及列表参数说明。 在容器安全的实时监测页面，支持按“节点”和“命名空间”进行分类查看集群中的容器信息。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 分类查看容器信息：选择“节点”和“命名空间”页签，可以更直观地分类查看集群中各个节点和各个命名空间上的容器信息。 4. 查看汇总统计信息：容器列表上方汇总展示了当前节点或命名空间中各类型的容器数量，包括运行中容器、特权容器、节点启动容器、有漏洞的容器和有异常行为的容器等，单击想要查看的容器类型，下方容器列表会根据单击选择的条件进行筛选。 5. 随着在左侧树形结构中的选择改动，右侧统计结果将响应式动态变化。 6. 查看容器列表：容器列表内，支持按照“容器名称”、“镜像名称”、“Pod名称”、“容器标签”、“容器IP”、“容器类型”、“运行状态”、“安全状态”等进行筛选查询。 容器列表内各参数说明如下： 参数 说明 容器名称 容器的名称。 容器类型 容器类型分为集群启动容器、节点启动容器和特权容器。 Pod名称 容器所属Pod的名称。 应用 容器所提供的应用服务，如kubernetes、apache、nginx等。 镜像名称 关联镜像是指该容器基于哪个镜像构建的。 运行状态 运行状态分为运行中、停止运行、已暂停、已删除。 安全状态 安全状分为“有异常”和“无异常”，有异常是指触发了安全策略产生告警的容器。 7. 查看图标说明：在容器列表左下角，可查看容器列表中图标的说明信息，前三个图标（节点启动容器、集群启动容器、特权容器）表示的是容器类型，其余图标表示的是容器列表中的应用。

风险等级 描述 致命 致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危 高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危 中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危 低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示 对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。

高效运维 通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入，全面提升运维效率。 Web浏览器运维 HTML5远程登录资源，无需安装客户端，一键登录运维资源，实现操作实时监控、文件上传下载等运维管理。 一站式登录运维 在Windows、Linux、Android、iOS等操作系统上，支持任意主流浏览器无插件化运维，包括Edge、Chrome、Firefox等主流浏览器，让运维人员脱离运维工具和操作系统束缚，随时随地远程运维。 批量登录 支持一键登录多个授权资源，多个资源可同时在一个浏览器页签运维。 协同会话 支持多人参与“协同分享”，邀请其他运维人员或专家进行协同运维，对同一会话进行协同操作或问题定位，提高多人运维效率。 文件传输 基于WSS的文件管理技术，支持文件上传/下载，以及文件在线管理，实现多主机文件共享功能 。 命令群发 针对多个Linux资源，开启群发键。在一个会话窗口执行命令后，其他会话窗口将同步执行相同操作。 第三方客户端运维 在不改变用户使用原来客户端习惯的前提下，支持一键接入多种运维工具，提升运维效率。 多种运维工具 支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。 SSH客户端运维 针对字符协议类主机资源，可通过运维客户端登录资源，实现运维平台多种选择。 数据库客户端运维 针对数据库主机资源，通过配置SSO单点登录工具，调用数据库客户端，实现一键登录目标数据库资源，数据库运维操作。 文件传输客户端运维 针对文件传输协议类主机资源，通过调用FTP/SFTP/SCP客户端登录资源，实现客户端运维。 自动化运维 线上多步骤复杂操作自动化执行，告别枯燥的重复工作，提高工作效率。 脚本管理 线下脚本上线管理，支持Shell和Python类型脚本的管理。 运维任务 通过配置命令执行、脚本执行、文件传输的运维任务，可定期、批量、自动执行预置的运维任务。

本小节介绍Web应用防火墙网站基础防护最佳实践。 基础防护配置是基于中国电信多年Web安全防护经验的策略与规则集，全面覆盖OWASP TOP10攻击防护，包括SQL注入、XSS，应用漏洞攻击等常见的Web攻击。 您可以根据网站的实际情况对基础防护规则进行调整，包括但不限于开关网站的安全防护、调整防护模式为阻断或预警、调整防护等级、调整应用对象相关的安全策略、调整基于攻击类型的攻击特征的防护状态和防护模式。 Web应用防火墙为您提供724的技术支持服务，在基础防护配置调整的过程中产生任何问题或疑问都可以通过客户响应快速获得技术支撑。 防护模式： 为了更好的适配您的业务，基础防护模式分为阻断状态和预警，接入防护后默认为阻断状态 ，您可以在平台通过各项规则管理进行系统化定制。 阻断会直接拦截被判定为非法请求的相关数据包。 预警仅会记录非法请求，但是不会进行阻断。 配置建议： 如果用户对网站的相关配置或相关安全配置不尽了解，则推荐采用默认的中等防护等级和阻断模式。 如果用户对安全性需求较高则推荐采用高级防护等级，在采用高级防护等级时，推荐您先使用预警模式观察数周安全规则对网站产生的影响，并根据观察结果对安全规则进行微调，以免严格的安全策略导致产生大量误拦截对网站业务造成影响。

本文将介绍弹性伸缩的具体使用流程。 弹性伸缩服务是根据您的业务需求，通过策略自动调整其弹性计算资源的一种管理服务。该服务能够根据预设规则自动调整伸缩组内的云主机数量，弹性伸缩服务的主要使用流程如下图： 1. 准备工作：首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 创建伸缩组：创建弹性伸缩首先需要创建伸缩组，伸缩组是具有相同属性和应用场景的云主机实例和伸缩策略的集合。创建伸缩组的基本信息，包括配置最大实例数、最小实例数和关联的负载均衡服务等，具体操作请参见创建伸缩组。 3. 创建伸缩配置：在创建完伸缩组后，可以创建伸缩配置，伸缩配置即伸缩活动中添加的云主机的规格。通常为一个伸缩组内添加云主机实例规格的配置模板，包括云主机的类型、vCPU、内存等。一个伸缩组支持创建一个伸缩配置。具体操作请参见创建伸缩配置。 4. 确认伸缩启用状态：在创建伸缩策略之前，需要确认伸缩组是否处于启用状态，只有伸缩组启用状态为“已启用” 的伸缩组，系统才会监控该伸缩组的伸缩策略，才可能触发伸缩活动。伸缩组创建成功后，状态默认为“已启用”。仅当伸缩组状态为“已停用”才可以启用伸缩组。具体操作步骤请参见启用伸缩组。 5. 创建伸缩策略：确认伸缩组为启用状态，用户可以创建伸缩策略。天翼云弹性伸缩服务支持创建6种策略，分别为告警策略、定时策略、周期策略、目标追踪策略、智能预测策略、简单策略，可以根据业务实际需求来创建对应的策略。具体操作请参见创建伸缩策略。

本文将为您介绍将实例移出伸缩组的操作场景、约束与限制以及具体操作步骤。 操作场景 当您需要更新实例或者排查实例的问题时，可以选择将实例移出伸缩组。若伸缩组绑定了负载均衡，当实例移出伸缩组后，实例将不再承担业务流量请求。 将实例移出伸缩组有两种情况，移出伸缩组与移出伸缩组并释放。 手动移出实例不会影响实例本身的性状，实例不会被释放、删除、关闭，您还可以用此云主机实例继续做其他操作。 当选择移出伸缩组并释放时，云主机实例在被移出伸缩组后还会被释放掉，但此功能对手动移入的云主机实例不生效。 约束与限制 伸缩实例为“已启用”状态。 伸缩组没有正在执行的伸缩活动。 移出后实例数不能低于伸缩组实例下限，即最小实例数。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 点击待移出实例的伸缩组名称，进入到伸缩组详情页面。 5. 在伸缩组详情页面的下方，单击“伸缩实例”进入伸缩实例列表页签，在待移出实例所在行，单击“操作”列的“移出伸缩组”或“移出伸缩组并释放”。 6. 若您想批量操作，您可以勾选待操作的云主机实例名称前的复选框，在实例列表上方单击“移出伸缩组”或“移出伸缩组并释放”按钮。 7. 在弹出的“移出伸缩组”与“移出伸缩组并释放”弹窗中，确认移出实例信息，确认无误后，点击“确定”按钮，即可成功将实例移出伸缩组。 注意 手动移入的云主机实例无法进行“移出伸缩组并释放”操作。

操作流程 为云主机配置内网域名的流程如下图所示。 图内网域名配置流程 配置流程说明 “（可选）创建VPC及VPC子网”：在管理控制台虚拟私有云服务页面完成配置，仅当您在网站部署阶段为云主机配置内网域名时，执行本操作。 “创建内网域名”和“创建记录集”：在管理控制台内网DNS页面完成相关配置。 “（可选）更改VPC子网的DNS”：在管理控制台虚拟私有云服务页面完成配置，仅当您为已运行网站的云主机配置内网域名时，执行本操作。 创建VPC及VPC的子网（可选） 当您在网站部署阶段为云主机配置内网域名时，需要首先完成VPC及其子网的创建。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“网络 > 虚拟私有云”。 4. 在左侧树状导航栏，选择“虚拟私有云”。 5. 单击“创建虚拟私有云”，根据界面提示配置参数，关键参数的配置说明如所示。 表虚拟私有云关键参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 江苏苏州 名称 VPC名称。 VPC001 网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。 目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624 192.168.0.0/16 子网名称 子网的名称。 subnet 子网网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 网关 子网的网关。 192.168.0.1 DNS服务器地址 若要为VPC内的云主机配置内网域名，需要设置DNS服务器地址与天翼云的内网DNS地址保持一致。 100.125.1.250 100.125.21.250 6. 单击“立即创建”，完成VPC以及VPC默认子网的设置。

本文主要介绍如何查看辅助弹性网卡基本信息。 操作场景 您可以在控制台查看您所拥有的辅助弹性网卡基本信息，包括ID、所属弹性网卡、VLAN、所属VPC、所属子网、私网IP、绑定的弹性IP、MAC地址及关联的安全组等信息。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表中，单击需要查看详情的辅助“私有IP地址”，打开辅助弹性网卡的详情页。 1. “基本信息”页签：显示辅助弹性网卡的ID、所属弹性网卡、VLAN、所属VPC、所属子网、服务地址、MAC地址等信息。 2. “关联安全组”页签：显示辅助弹性网卡关联的安全组及其规则。 其他操作 在辅助弹性网卡详情页可以修改以下信息： 在“基本信息”页签，可以修改辅助弹性网卡的“描述”信息，以及变更绑定的弹性IP。 在“关联安全组”页签，可以修改关联的安全组。

快速部署DeepSeek系列模型并使用Ollama运行 创建VPC 登录智能边缘云ECX控制台，菜单栏点击【边缘网络>虚拟私有云>VPC和子网】，点击按钮【+创建虚拟私有云】。 根据您的目标用户所在地域，就近选择业务部署的地域，并按需修改VPC名称、VPC网段、子网网段等，若无特殊需求，按照默认设置即可，勾选协议并点击【立即创建】。 完成后即可在VPC和子网列表看到刚刚创建的VPC。 创建安全组 登录智能边缘云ECX控制台，菜单栏点击【边缘网络>访问控制>安全组】，点击按钮【新建安全组】。 切换【入方向规则/出方向规则】，点击【添加规则】按需设置应用的安全组策略，在本方案中，需确保设置“11434,18080”入方向规则，点击【确定】保存安全组策略。

本节介绍了申请须知。 在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定VPC及可用区，申请账号等。 注册账号后，如果需要对资源进行精细管理，请使用IAM服务创建IAM用户及用户组，并授权为IAM用户分配具体的操作权限。 评估实例规格 为了使所申请的DRDS服务能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 确定虚拟私有云（VPC） VPC为网络访问提供了逻辑隔离。您可以在创建VPC时，定义安全组、VPN、子网等网络特性。通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 确定可用区 建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。

本章节以SuSE 11 SP4 for SAP操作系统下HANA 2.0单机版为例，介绍如何通过自定义脚本来冻结、解冻HANA数据库，以实现对HANA数据库的数据库备份。 场景介绍 某企业购买了云主机，并在上面安装了HANA 2.0单机版数据库，用于存放业务数据，随着数据量的增加，之前的崩溃一致性保护已经满足不了RTO、RPO的要求，决定采用应用一致性备份，减小RTO与RPO。 数据准备 准备项 说明 示例 ::: HANA用户名 连接HANA SYSTEMDB数据库时使用的用户名 system HANA密码 连接HANA SYSTEMDB数据库时使用的密码 Example@123 HANA实例编号 连接HANA数据库时使用的实例编号 00 HANA SID 连接HANA数据库时使用的SID WXJ 详细步骤 步骤1、加密HANA用户密码，供自定义脚本使用。 1.登录HANA服务器，输入 cd /home/rdadmin/Agent/bin/ ，进入Agent目录。 2.执行 /home/rdadmin/Agent/bin/agentcli encpwd ，回显如下： Enter password: 输入HANA用户的密码，并按“Enter”，屏幕上就会打印出加密后的密码，将其拷贝到剪贴板中。 步骤2、执行 cd /home/rdadmin/Agent/bin/thirdparty/ebkuser ，进入自定义脚本目录，执行 vi hanafreeze.sh ，打开HANA示例冻结脚本。 步骤3、将下图所示的HANAUSER HANAPASSWORD INSTANCENUMBER DBSID修改为实际值，其中HANAPASSWORD为步骤1的屏幕输出。 也可以使用sed命令来直接进行修改： sed i 's/^HANAUSER./HANAUSER" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为数据库用户名。 sed i 's/^HANAPASSWORD./HANAPASSWORD" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为步骤1中打印出的密码。 sed i 's/^INSTANCENUMBER./INSTANCENUMBER" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为数据库实例编号。 sed i 's/^DBSID./DBSID" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为数据库SID。 此操作会同时修改冻结解冻脚本，所以无需再执行步骤3。 步骤4、执行 vi hanaunfreeze.sh ，打开HANA示例解冻脚本，修改此脚本中的用户名、密码、实例编号与SID hanafreeze.sh与hanaunfreeze.sh脚本实现了基本的数据库冻结与解冻操作，如果你在冻结、解冻时有其它额外步骤需要执行，可以自行在其中进行修改。 警告： 冻结SAP HANA数据库时，按照SAP官方建议，需要冻结Data卷的XFS文件系统，否则可能出现数据不一致的问题。在此示例脚本中，将会查询出HANA使用的Data卷挂载点，并用xfsfreeze 命令进行冻结。 如果HANA系统未按照SAP官方建议使用一个独立分区来存放Data卷数据，而是与系统卷共用一个分区，则请修改hanafreeze.sh脚本，注释掉xfsfreeze相关行，防止整个系统都被冻结，但此时可能出现备份数据不一致的问题。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 双活网关：VPN双活网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。