1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 专有宿主机”，进入专有宿主机列表页。您可以查看专有宿主机名称、状态、资源使用量等基本信息。 4. 在专有宿主机列表页，点击专有宿主机名称，即可跳转至该专有宿主机的详情页，可以进一步专有宿主机的详细信息以及当前专有宿主机上的实例列表。 5. 您可以对专有宿主机使用标签、名称或ID进行筛选，也可以对专有宿主机列表进行导出。

本节主要介绍产品定义 应用服务网格(CT Application Service Mesh，简称ASM) 是高可靠、高性能的全托管式服务网格，以应用基础设施方式为用户提供服务流量管理、服务发布以及服务访问安全和服务运行监控能力，通过一键启用方式无缝对接云容器引擎CCE。

字段 说明 示例 version VPC流日志版本。 1 projectid 项目ID。 5f67944957444bd6bb4fe3b367de8f3d interfaceid 为其记录流量的网卡的ID。 1d515d181b3647dca983bd6512aed4bd srcaddr 源地址。 192.168.0.154 dstaddr 目的地址。 192.168.3.25 srcport 源端口。 38929 dstport 目标端口。 53 protocol IANA协议编号。 17 packets 数据包的数量。 1 bytes 数据包的大小。 96 start 捕获窗口启动的时间，采用Unix秒的格式。 1548752136 end 捕获窗口结束的时间，采用Unix秒的格式。 1548752736 action 与流量关联的操作： ACCEPT：安全组或网络ACL允许记录的流量。 REJECT：安全组或者网络ACL拒绝记录的流量。 ACCEPT logstatus 流日志的日志记录状态： OK：数据正常记录到选定目标。 NODATA：捕获窗口中没有传入或传出符合“采集类型”的网卡的网络流量。 SKIPDATA：捕获窗口中跳过了一些流日志记录。这可能是由于内部容量限制或内部错误。 示例： 如果您创建VPC流日志时设置“采集类型”为“接受”，当有接受流量时，“logstatus”将显示为“OK”。当没有接受的流量时，不管是否有拒绝的流量，“logstatus”都将显示为“NODATA”。当有一些接受流量异常跳过时，“logstatus”将显示为“SKIPDATA”。 OK

Apache Dubbo官方发布了CVE201917564漏洞通告，漏洞等级中危，Web应用防火墙提供了对该漏洞的防护。本章节介绍Apache Dubbo反序列化漏洞的最佳实践。 漏洞介绍 CVE201917564漏洞等级为中危。当用户选择HTTP协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。 影响的版本范围 漏洞影响的Apache Dubbo产品版本包括： 2.7.0～2.7.4、2.6.0～2.6.7、2.5.x的所有版本。 安全版本 Apache Dubbo 2.7.5版本。 解决方案 建议您将Apache Dubbo升级到2.7.5版本。 如果您无法快速升级版本，或者希望防护更多其他漏洞，可以使用天翼云Web应用防火墙对该漏洞进行防护，请参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文主要介绍部分浏览器访问HTTPS时CDN证书校验失败的排查思路。 问题现象 部分浏览器访问HTTPS时证书校验失败。 问题原因 中间证书配置错误。 排查过程及解决方案 1. 浏览器访问HTTPS时提示证书不安全，点击返回安全连接后，连接断开，通过Wireshark抓包查看失败原因为Certificate Unknown。 2. 抓包查看sni是正常的： 3. 查看证书链，发现中间证书异常，缺失正确的中间证书： 4. 在CDN加速控制台上重新配置证书链，具体可参照：CDN加速域名如何配置HTTPS中间证书重新配置证书链后抓包查看正常，浏览器不再报错：

JWT 是一种轻量级的身份验证和鉴权机制，广泛应用于Web开发、API安全、单点登录等场景。服务网格支持配置JWT策略并应用到数据面实现请求身份认证，保护后端服务安全。 JWT策略配置说明 配置项 说明 安全策略名称 策略名称，如testjwt Issuer JWT的颁发者，如果请求带的JWT中的iss字段和此字段不一致，则该JWT会被拒绝 JWKS来源 用于验证JWT的密钥来源 jwks 用于验证JWT的密钥，当JWKS来源是jwks时填写 jwksUri 用于验证JWT的密钥URI，当JWKS来源是jwksUri时填写 Audience JWT颁发给的目标实体 JWTToken位置 获取JWT的位置，支持从请求头或者请求Query参数中获取 JWT透传 是否向后端透传JWT信息 将Payload通过Header透传 将JWT的Payload信息通过base64编码后添加到Header透传到后端 JWT策略绑定 策略生效粒度 当前支持命名空间、服务、工作负载、网关的生效粒度配置，说明如下 生效粒度 说明 命名空间 策略下发到所选择命名空间下所有数据面 服务 策略下发到所选服务关联的工作负载数据面 工作负载 策略下发到指定工作负载的数据面 网关 策略下发到网关 请求匹配规则 对于JWT策略、OIDC策略和自定义授权服务策略，支持基于请求特征匹配决定是否执行当前策略，支持的匹配项及说明如下 匹配项 说明 HTTP域名(Host) 匹配一组请求的域名 HTTP路径(Path) 匹配一组请求路径 HTTP方法(Method) 匹配一组请求的HTTP Method 端口(Port) 匹配一组请求的目标服务端口 说明 域名和路径匹配支持以下匹配模式 1. 精确匹配：如abc匹配abc字符串 2. 前缀匹配：abc匹配abc、abcd、abce等 3. 后缀匹配：abc匹配abc、xabc、zabc等 4. 存在匹配：匹配所有非空值 请求匹配支持黑白名单模式 1. 黑名单模式：选中请求必须执行认证策略 2. 白名单模式：选中请求跳过认证策略，其他请求需要执行策略

可通过客户端登录配置登录后无操作的时间范围，超时后自动退出。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“客户端登录配置”模块的右侧，单击“编辑”，进入“客户端登录配置”页面。 4、填写登录后长久不操作空闲的超时时间，及选择SSH登录方式， 参数名称 参数说明 取值样例 登录超时 设置登录成功后无操作的时间。 有效值区间为143200。当超过设定时长无操作时，再次操作需要重新登录，默认值为30。 30 SSH公钥登录 超时后是否使用SSH公钥登录，默认开启。 SSH密码登录 超时后是否使用SSH密码登录，默认开启。 5、单击“确定”，完成配置。

本文介绍天翼云产品的账单管理。 账单概览 天翼云支持用户查询账单概览、流水账单、账单详情及导出记录，详情请见账单管理费用中心 天翼云。 账单概览可以展示不同汇总维度下的应付金额、扣费明细等数据，每个产品只展示一条汇总数据。 流水账单 流水账单可以展示按照不同计费模式下的每一笔订单和每个计费周期维度构成的数据，根据此账单进行扣费和结算，并可导出两种格式（xlsx、csv）的账单，在“账单管理>导出记录”下载。 账单详情 自定义账单可以通过多维度展示客户账单的详细信息，并可导出两种格式（xlsx、csv）的账单，在“账单管理>导出记录”下载。 导出记录 用户选择导出后，可以在“账单管理>导出记录”页面点击下载，也可查看已导出的全部文件记录。 操作步骤 1. 登录天翼云费用中心。 2. 在导航栏中，选择“账单管理>账单详情” 。 3. 在账单详情页面，将“统计维度”选择为“产品”，可以支持以按账期或按天的统计方式查看目标产品的账单详情。 4. 在“账单管理>账单概览”页面，支持按产品类型、企业项目或计费模式对产品账单进行汇总展示。

混沌工程的最佳实践 混沌工程是指导故障演练进行系统性实验的学科，萌发于2008年Netflix业务上云后的实践需求，随后被诸多大型互联网企业采纳实践，伴随着系统复杂度和不可预知性而发展，逐渐形成体系的方法论，成为保障分布式系统稳定性的核心方法论之一。 建立一个围绕稳定状态行为的假说，用可测量的输出来定义系统的运行状态，验证系统是否正常工作，而不是试图验证它如何工作。 多样化真实世界的事件，关注任何能够破坏稳态的事件，既有状态引发的异常（如硬件故障、软件故障），也有行为引发的异常（如错误配置、流量过载），引入的故障成因要尽可能贴近现实，按潜在影响和发生概率进行优先级排序。 在生产环境中运行实验，系统的行为会依据环境和流量模式而有所不同，最佳的拟真环境就是真实的环境，但稳态破坏的风险暗含故障影响的不可逆性，渐进式多环境实验更为恰当。 持续自动化运行实验，故障演练是循环改进的过程，避免人工依赖的不可持续性，要在系统中构建实验的自动化编排和分析。 最小化爆炸半径，引入故障是为了暴露问题，不是创造问题，演练应该尽量避免对业务造成不可接受的实质伤害，要确保负面影响最小化且都被考虑到。

本文基于 golang 和 bash 介绍如何通过预签名 URL 直传对象存储。 操作背景 对象存储 SDK 提供的预签名接口可用于生成预签名 URL 。移动端应用可通过预签名 URL 直接上传或下载文件，不需要配备 SDK 和密钥。 操作流程 客户服务器配置好密钥等信息，通过 SDK 生成预签名 URL，随后移动端应用基于预签名 URL 构造 HTTP 请求进行上传或下载操作。 代码示例 相关代码片段如下所示。 生成预签名上传URL 请求示例 golang func PresignPutObjectRequest(s3c s3.S3) { bucket : "examplebucket" key : "examplekey" input : &s3.PutObjectInput{ Bucket: aws.String(bucket), Key: aws.String(key), } // 构造请求 request, : s3c.PutObjectRequest(input) // 设定预签名链接过期时间 expire : 15 time.Minute // 预签名请求 output, err : request.Presign(expire) if err ! nil { fmt.Printf(" Status: Failn Output:n%vn Error:n%vn", output, err) } else { fmt.Printf(" Status: Susccessn Output:n%vn", output) } } 响应示例 生成的预签名 URL 见 Output 部分。 bash Status: Susccess Output:

操作步骤： 1. 加载网络实例时，若选择的网络实例类型为云专线、 VPN 网关或 SDWAN，可开启 “链路冗余” 开关。 加载云专线（CDA）网络实例 加载VPN网络实例 加载SDWAN网络实例 2. 点击开关下面的单选框，选择目标冗余组。如果没有冗余组，可点击单选框下面的“新建冗余组”链接，在创建冗余组弹窗页面完成新建。 3. 单击“确定”，完成冗余网络实例加载。 注意 互为冗余链路的网络实例，需绑定至同一个冗余组。 查看已加载的冗余链路 操作步骤： 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“冗余组 ”页签，查看已经创建的冗余组。 5. 找到目标冗余组，在“冗余成员 ”列，单击“查看”，在弹出框中，即可查看目前已经加载的冗余链路。 删除冗余链路 如果需要删除冗余链路，可以在目标云企业路由器上，直接卸载目标网络实例。 具体请参见：卸载网络实例 删除冗余组

本章节介绍人脸识别关于购买类的常见问题与解答。 人脸识别是否支持续订？ 资源包是一次性产品，不支持标准续订操作，可通过连续购买资源包实现续订相同的功能。 当已订购的资源包订单即将到期或即将用完时，可通过订购新的资源包进行续订，按照资源包下单顺序抵扣额度。 资源包买错了可以退款吗？ 退订说明：人脸识别产品服务开通后7天内如无调用接口支持退订，退订后即可关闭。 ● 退订地址：控制台—费用中心—订单管理—退订管理。 ● 另外，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请退款，款项会原路退回。 资源包使用到一半可以退吗？ 资源包一经售卖且产生正常调用抵扣，不允许进行退款。 资源包属于预付费产品，建议您在购买资源包的时候按实际调用情况预估调用量以免造成资源浪费。 人脸识别服务是否支持代金券付款？ 操作方式：支持代金券付款，在卡券管理选择相应的代金券进行使用。 操作地址：我的—费用中心—卡券管理。

本文主要介绍产品定义 什么是性能测试 产品介绍 随着分布式架构和微服务技术的普及，应用的复杂程度越来越高，在架构解耦和性能提升的同时，也带来了生产环境性能问题定位难度高、修复周期长等挑战，因此，提前进行性能测试逐渐成为了应用上线前的必选环节。 性能测试是一项为基于HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV等协议构建的云应用提供性能测试的服务。服务支持快速模拟大规模并发用户的业务高峰场景，可以很好的支持报文内容和时序自定义、多事务组合的复杂场景测试，测试完成后会为您提供专业的测试报告呈现您的服务质量。 通过性能测试，希望将性能压测本身的工作持续简化，将更多的精力回归到关注业务和性能问题本身，同时降低成本、提升稳定性、优化用户体验，帮助企业提升商业价值。 产品功能 性能测试服务提供了HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV协议的高并发测试能力，可以支持多协议报文内容、事务、测试任务模型的灵活自定义，可实时、离线查看并发、RPS、响应时延等多个维度的性能统计，同时根据用户对性能测试规模的变化，提供按需的私有测试集群创建、扩缩容等性能测试集群管理能力。

手动平衡 1. 进入Kafka实例管理控制台。 2. 点击左侧菜单栏中的Topic管理，进入主题列表页面。 3. 选择需要平衡的主题，点击其右侧操作栏的更多选项。 4. 选择手动平衡，设置手动平衡参数。 ● 在“手动平衡”对话框右上角，单击“减少副本”/“添加副本”，为Topic的每个分区减少/增加副本数。 ● 在待修改分区平衡的副本名称下，单击Broker名称或，选择目标Broker的名称，副本即将迁移至目标Broker上。同一分区下的不同副本需要分配在不同的Broker上。 ● 在“带宽限制”中，输入带宽大小，默认值为“1”，表示不限制带宽。如果实例负载较低，建议不设置带宽限制。如果需要设置带宽限制，建议该参数值不小于待分区平衡Topic的总生产带宽 待分区平衡Topic的最大副本数。 ● 执行时间，支持立即执行和自定义时间，选择自定义时间时，自定义时间需要大于当前时间。通过定时任务去扫描任务，所以执行时间和自定义时间最多会有几分钟的偏差。 5. 单击“确认”，自动跳转到Topic列表页面。 6. 在Topic列表页面左上方单击“分区平衡任务”，查看分区平衡任务的状态。 说明 同一个topic不支持同时创建多个分区平衡任务，重复创建时会覆盖前一个任务

本节主要介绍OOS的应用场景。 互联网企业网站的静态和动态资源分离 场景描述 对于门户网站、视频网站、办公OA、SaaS应用服务商等，通过对象存储（经典版）Ⅰ型提供的网站托管功能，将整个网站托管在对象存储中，可直接向用户提供网站访问服务，帮助用户节省资本投入及人工维护成本。同时，通过对象存储（经典版）Ⅰ型的高并发支持能力，帮助用户更好地解决网站频繁访问时的页面崩溃问题。 建议搭配服务 CDN加速。 视频、影像云端存储 场景描述 对音频、视频等海量文件存储，如交管局监控视频、物业监控视频、门店监控视频、家庭监控视频、在线视频教学等，通过使用对象存储（经典版）Ⅰ型，将流式数据或文件数据存储到云端，利用对象存储技术解决高吞吐量、高并发及承载业务压力。同时视频可以就近上传到最近的资源池，上传速度快，直播点播不卡顿。 建议搭配服务 CDN加速、云存储网关。 图像、图片云端存储 场景描述 对于图片、图像等海量文件存储，如医院医疗影像、在线图片等，通过使用对象存储（经典版）Ⅰ型，将图片数据存储到云端，实现海量数据的大规模存储，并可以对图片进行缩略图、剪裁等图片处理。

本文为设置角色权限进行文档权限管理的实践介绍。 文档权限混乱总泄密？角色配置一键封锁核心资料！ 作为企业知识管理者，您是否每天都在焦虑： 😣 新来的销售看到了未发布的研发文档 😱 审计发现全员都能查看CEO的薪酬报表 别让文档权限成为定时炸弹！通过角色化权限配置，轻松应对以下四大场景，让核心资料锁进保险箱，授权操作像开关灯一样简单！ 📊 场景1：财务数据隔离战 混乱玩家： 在审计边缘疯狂试探 财报文档库像菜市场：“为什么产品部的小王在翻阅Q3集团的成本表？！” 权限大师： 给数据装上智能门禁，按角色切割数据视野 创建【财务组】角色，允许查看所有财务报表。 创建【产品主管】角色，仅可查看产品部相关的财务数据。 🔒 场景2：新产品研发防泄密战 混乱玩家： 被技术泄露搞崩溃 用网盘传图纸，权限全靠文件夹：“张工把新风阀图纸放共享盘了？快删掉！竞品公司的人也在群里！” 权限大师： 用角色配置精准封锁，角色权限批量绑定 创建【研发组】角色 → 勾选“燃料电池项目”查看权 → 自动屏蔽其他文档库（就像给保险箱配专属钥匙）。

获取终端节点 终端节点（Endpoint）即调用API的 请求地址 ，不同服务不同区域的终端节点不同。 您可以从企业管理员处获取。 获取数据目录的guid 每个业务资产、技术资产或指标资产都具备guid，guid是资产的唯一标识符。在调用数据目录或数据地图接口时，部分URL中需要填入guid。 在数据地图或数据目录组件中，数据资产guid的获取步骤如下： 1. 在DataArts Studio控制台首页，选择实例，单击“进入控制台”，选择“数据地图”或对应工作空间的“数据目录”，进入数据地图或数据目录页面。 2. 按下F12，打开开发者调试工具，然后选择Network功能。 图3 选择Network 3. 在数据地图的“首页”界面或“数据搜索”界面，或者在数据目录的“总览”界面或“数据目录”界面，选择需要查询guid的资产，并点击资产名进入资产详情页。 a. 在Network请求中，寻找Name形如“09318f28939f4ab6a3749e621096652c”的长字符串。 图4 寻找长字符串 b. 点击该字符串，弹出具体请求的弹窗。在Request URL中，可以确认该字符串即为该资产的guid。 图5 获取guid

操作步骤 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3. 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 >RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 4. 单击实例名称后的“查看监控数据”，进入“云监控”该实例的监控指标页面。 5. 在实例监控指标页面中，找到需要创建告警的指标项，鼠标移动到指标区域，然后单击指标右上角的，创建告警规则，跳转到“创建告警规则”页面。 6. 在告警规则页面，设置告警信息。 创建告警规则操作，请查看云监控服务的用户指南“创建告警规则和告警通知”。 设置告警名称和告警的描述。 设置告警策略和告警级别。 例如在进行指标监控时，如果连续3个周期，连接数原始值超过设置的值，则产生告警，如果未及时处理，则每天发送一次告警通知。 设置“发送通知”开关。当开启时，设置告警生效时间、产生告警时通知的对象以及触发的条件。 单击“立即创建”，等待创建告警规则成功。

本文主要介绍重启实例。 操作场景 分布式消息服务Kafka管理控制台支持重启运行中的Kafka实例，且可实现批量重启Kafka实例。 说明 在Kafka实例重启过程中，客户端的生产与消费消息等请求会被拒绝。 前提条件 只有当Kafka实例处于“运行中”或“故障”状态，才能执行重启操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，重启Kafka实例。 勾选Kafka实例名称左侧的方框，可选一个或多个，单击信息栏左上侧的“重启”。 在待重启Kafka实例所在行，单击“重启”。 单击Kafka实例名称，进入实例详情页面。单击右上角的“重启”。 步骤 5 在“重启实例”对话框中，单击“是”，完成重启Kafka实例。 重启Kafka实例大约需要3到15分钟。Kafka实例重启成功后，实例状态切换为“运行中”。 说明 重启Kafka实例只会重启实例进程，不会重启实例所在虚拟机。

本节主要介绍创建网格 ASM支持创建基础版网格，提供商用级网格服务。 前提条件 启用应用服务网格前，您需要创建或已有一个可用集群，并确保集群版本为v1.15及以上。 约束与限制 应用服务网格依赖集群CoreDNS的域名解析能力，请确保集群拥有足够资源，且CoreDNS插件运行正常。 集群启用Istio时，需要开通node节点（计算节点/工作节点）所在安全组的入方向7443端口规则，用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组，此端口会自动开通。如果您自建安全组规则，请手动开通7443端口，以确保Istio自动注入功能正常。 操作步骤 步骤 1 登录应用服务网格控制台。 步骤 2 单击右上角“创建网格”。 步骤 3 设置网格参数。 网格类型 默认为基础版网格。 网格名称 网格的名称，取值必须以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾，长度范围为4~64个字符。 同一帐号下网格不可重名，且网格名称创建后不可修改。 Istio版本 网格支持的Istio版本。 启用IPv6 启用双栈网格需满足以下条件： 网格类型 Istio版本 支持启用的集群类型 集群网络类型 其他说明 基础版 1.18及以上 CCE Turbo集群 云原生网络2.0 集群需要已启用IPv6 说明 是否启用IPv6功能，仅istio1.18及以上版本的基础版网格支持。 低版本的网格升级到1.18及以上时，不支持升级后开启IPv4/IPv6双栈。 网格开启IPv4/IPv6双栈后不支持关闭， 未开启双栈的网格也不支持创建完成之后开启双栈。 集群 在集群列表中选择集群，或在列表右上角输入集群名称搜索需要的集群。仅可选择当前网格版本支持的集群版本。 Istio控制面节点 基础版网格的控制面组件安装在用户集群，因此需要选择用于安装Istio控制面的节点。如果需要高可用，建议选择两个或以上不同可用区的节点。 所选节点会被添加istio:master标签，网格组件会调度到该节点上。 步骤 4（可选）高级配置。 sidecar配置 选择命名空间，为命名空间设置标签istioinjectionenabled，其中的Pod在重启后会自动注入istioproxy sidecar。 如果不进行sidecar配置，可在网格创建成功后在“网格配置 > sidecar管理”中注入sidecar。具体操作请参考sidecar注入。 是否重启已有服务 ：会重启命名空间下已有服务关联的Pod，将会暂时中断业务。只有在重启后，已有服务关联的Pod才会自动注入istioproxy sidecar。 ：已有服务关联的Pod不会自动注入istioproxy sidecar，需要在CCE控制台，手动重启工作负载才会注入sidecar。 步骤 5 设置完成后，在页面右侧配置清单确认网格配置，确认无误后，单击“提交”。 创建网格预计需要1~3分钟，请耐心等待。当网格状态从“安装中”变为“运行中”，表示网格创建成功。 说明 启用网格期间会操作如下资源： 创建一个Helm应用编排release对象，作为服务网格控制面的资源。 开通节点的安全组，允许7443端口的入流量，使其支持对Pod进行自动注入。

client.sources staticlogsource client.channels staticlogchannel client.sinks kafkasink LOGTOHDFSONLINE1 client.sources.staticlogsource.type spooldir client.sources.staticlogsource.spoolDir 监控目录 client.sources.staticlogsource.fileSuffix .COMPLETED client.sources.staticlogsource.ignorePattern ^$ client.sources.staticlogsource.trackerDir 传输过程中元数据存储路径 client.sources.staticlogsource.maxBlobLength 16384 client.sources.staticlogsource.batchSize 51200 client.sources.staticlogsource.inputCharset UTF8 client.sources.staticlogsource.deserializer LINE client.sources.staticlogsource.selector.type replicating client.sources.staticlogsource.fileHeaderKey file client.sources.staticlogsource.fileHeader false client.sources.staticlogsource.basenameHeader true client.sources.staticlogsource.basenameHeaderKey basename client.sources.staticlogsource.deletePolicy never client.channels.staticlogchannel.type file client.channels.staticlogchannel.dataDirs 数据缓存路径，设置多个路径可提升性能，中间用逗号分开 client.channels.staticlogchannel.checkpointDir 检查点存放路径 client.channels.staticlogchannel.maxFileSize 2146435071 client.channels.staticlogchannel.capacity 1000000 client.channels.staticlogchannel.transactionCapacity 612000 client.channels.staticlogchannel.minimumRequiredSpace 524288000 client.sinks.kafkasink.type org.apache.flume.sink.kafka.KafkaSink client.sinks.kafkasink.kafka.topic 数据写入的topic ，如flumetest client.sinks.kafkasink.kafka.bootstrap.servers XXX . XXX . XXX . XXX :kafka 端口号 , XXX . XXX . XXX . XXX :kafka 端口号 , XXX . XXX . XXX . XXX :kafka端口号 client.sinks.kafkasink.flumeBatchSize 1000 client.sinks.kafkasink.kafka.producer.type sync client.sinks.kafkasink.kafka.security.protocol SASLPLAINTEXT client.sinks.kafkasink.kafka.kerberos.domain.name Kafka Domain名称，安全集群必填，如hadoop.xxx.1com client.sinks.kafkasink.requiredAcks 0 client.sources.staticlogsource.channels staticlogchannel client.sinks.kafkasink.channel staticlogchannel 说明 client.sinks.kafkasink.kafka.topic：数据写入的topic。若kafka中该topic不存在，默认情况下会自动创建该topic。 client.sinks.kafkasink.kafka.bootstrap.servers：Kafkabrokers列表，多个用英文逗号分隔。默认情况下，安全集群端口21007，普通集群对应端口9092。 client.sinks.kafkasink.kafka.security.protocol：安全集群为SASLPLAINTEXT，普通集群为PLAINTEXT。 client.sinks.kafkasink.kafka.kerberos.domain.name： 普通集群无需配置此参数。安全集群对应此参数的值为Kafka集群中“kerberos.domain.name”对应的值。 具体可到Broker实例所在节点上查看${BIGDATAHOME}/MRSCurrent/1 X Broker/etc/server.properties。 其中X为随机生成的数字，请根据实际情况修改。同时文件需要以Flume客户端安装用户身份保存，例如root用户。 具体可到Broker实例所在节点上查看“${BIGDATAHOME}/FusionInsightCurrent/1XBroker/etc/server.properties”。 9. 参数配置并保存后，Flume客户端将自动加载“properties.properties”中配置的内容。当spoolDir生成新的日志文件，文件内容将发送到Kafka生产者，并支持Kafka消费者消费。

参数 是否必填 参数类型 说明 示例 下级对象 attachedType 否 String 绑定设备类型 INSTANCE云主机 eip 否 String eip eipId 否 String eipId eipName 否 String eip名称 filterTip 否 Boolean 过滤提示 firewallId 否 String 防火墙ID ipType 否 String IP类型，ipv4;ipv6; page 否 Integer 页码 1 protectStatus 否 Boolean 防护状态 size 否 Integer 条数 1 subnetId 否 String 子网id subnetIds 否 Array of Strings 子网id列表 vpcId 否 String vpc id vpcIp 否 String vpc ip vpcName 否 String vpc名称

本文介绍边缘安全加速平台的安全与加速服务在CC攻击常见场景中的推荐防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置如下图： 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每10秒5000次时，则会开启CC攻击防护。

本章节为您介绍用户管理的相关内容。 用户管理是指管理当前实例下所有用户信息，提供新增、编辑、Ukey绑定、重置等功能。 新增用户 1. 登录综合安全网关实例。 2. 选择“系统管理 > 用户管理”，进入“用户管理”页面。 3. 单击页面左上角的“添加用户”，在弹出的“添加用户”窗口中配置用户参数。 参数 是否可选 参数说明 登录名 必选 自定义用户的登录名，配置后不可修改。 别名 可选 设置用户的别名。 角色 必选 选择该登录用户在系统中的角色。 支持如下四种角色： 操作员（ctyunoperator） 日志审计员（ctyunauditor） 系统管理员（ctyunuseradmin） 超级管理员（ctyunadmin） 手机号码 可选 填写手机号。 邮箱地址 可选 填写新增用户的邮箱地址。 地址 可选 填写新增用户的地址。 输入密码 必选 设置用户的密码。 确认密码 必选 二次确认密码。 4. 配置完成后，单击“确定”完成用户添加。 后续操作 说明 系统初始的超级管理员用户不支持编辑和删除。 编辑用户：选择需要编辑的用户，单击“操作”列的“编辑”按钮，修改用户的相关信息后单击“确定”完成修改。 绑定UKey：选择需要绑定UKey的用户，单击“操作”列的“UKEY绑定”按钮，在弹出的对话框中填写UKEY序列号及PIN码完成绑定。 注意 首次使用UKEY需要在综合安全网关登录页面下载并安装UKEY插件。 解绑UKey：选择需要解绑UKey的用户，单击“操作”列的“UKEY解绑”按钮，在弹出的对话框中填写PIN码完成解绑。 重置用户密码：选择需要重置密码的用户，单击“操作”列的“设置口令”按钮，在弹出的对话框中单击“确定”完成重置。

操作场景 本章介绍如何在控制台创建集群实例、以及创建后如何设置安全组、并通过内网连接集群实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 图 内网访问数据库实例

此小节介绍数据库审计的产品定义。 数据库审计（DBAudit），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 支持的数据库类型 数据库协议 数据库类型 国产数据库协议 DM、GBase、Kingbase、OSCAR、 KDB、 OceanBase、PolarDB、PolarDBX、 TiDB、 AnalyticDB、GaussDB、HighGo DB、Percona、Vastbase、teleDBMySQL、teleDBPostgreSQL。 主流数据库协议 Oracle 、MySQL 、DB2、SQL server 、PostgreSQL、Informix、MariaDB、Sybase ASE、Teradata、Sybase IQ、HANA、libra、Vertica、Clickhouse。 非关系协议 MongoDB、Redis、Graphbase、ArangoDB、OrientDB、Neo4j。 大数据协议 Hive 、Hbase(Thrift)、Hbase(Protobuf)、Spark SQL(RESTful)、Spark SQL(Thrift)、GreenPlum、Cassandra、Impala、SSDB、HDFS、TDSQLC、TBase 、MAX COMPUTE。

本文帮助您快速熟悉服务器绑定的操作方法。 操作场景 当您需要通过虚拟IP去访问业务，实现业务的高可用，您可以选择将云服务器与虚拟IP绑定。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成虚拟IP、弹性云主机的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要绑定服务器的虚拟IP地址所在行的操作列下，单击“绑定服务器”。 6. 在弹窗中选择需要绑定的“服务器类型”：云主机/物理机。 7. 选定服务器类型后选择需要绑定的网卡。 8. 单击“确定”按钮，即可完成服务器的绑定。 注意 1. 一个虚机IP支持绑定多个云服务器，同一个虚拟IP绑定的服务器类型只能是一种类型。 2. 虚拟IP具备子网属性，云服务器网卡所属子网与虚拟IP所属子网需相同才可绑定。 3. 如您需要虚拟IP绑定标准裸金属，需在标准裸金属子网中申请虚拟IP。标准裸金属子网下的虚拟IP仅支持绑定标准裸金属。部分可用区资源池版本暂不支持虚拟IP绑定标准裸金属，实际情况以控制台展示为准。

参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b ctyun资源池ID name String 是 告警规则lyc123 规则名 service String 是 ecs 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ dimension String 是 ecs 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ level Integer 是 1 本参数表示报警级别。取值范围：1：灾难告警。2：严重告警。3：一般告警。4：警告告警。根据以上范围取值。 rules Array of Objects 是 具体匹配规则 rule desc String 否 test 描述 repeatTimes Integer 否 0 重复告警通知次数，默认为0 silenceTime Integer 否 300 告警接收策略静默时间，多久重复通知一次，单位为秒 recoverNotify Integer 否 0 本参数表示恢复是否通知。默认值0。取值范围：0：否。1：是。根据以上范围取值。 notifyType Array of String 否 ["email","sms"] 本参数表示告警接收策略。取值范围：email：邮件告警。sms：短信告警。根据以上范围取值。 contactGroupList Array of String 否 ["test"] 告警联系人组 notifyWeekdays Array of Integer 否 [0,1,2,3,4,5,6] 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围：0：周日。1：周一。2：周二。3：周三。4：周四。5：周五。6：周六。根据以上范围取值。 notifyStart String 否 00:00:00 通知起始时段，默认为00:00:00 notifyEnd String 否 23:59:59 通知结束时段，默认为23:59:59

本章节介绍备份相关的操作指导。 查看备份详情 在备份任务下发或完成后，可以通过各种筛选条件在备份列表查看备份详情。 1. 登录天翼云控制中心。 2. 在产品列表中选择“存储 >云硬盘备份”。 3. 点击左侧“ ”查看云硬盘备份详情。 使用备份恢复云硬盘 当云主机中的云硬盘发生故障，或者由于人为误操作导致云主机数据丢失时，可以使用已经创建成功的备份恢复数据。 在恢复数据前，需要先停止服务器，并解除服务器和云硬盘的挂载关系后再做恢复操作。恢复后，再挂载云硬盘并启动服务器。 说明 云硬盘备份的数据盘的数据，不能恢复到系统盘中。 硬盘处于已挂载或未挂载时可进行云硬盘备份。 前提条件： 需要恢复的云硬盘运行状态正常。 操作步骤： 1. 登录天翼云控制中心。 2. 在产品列表中选择“计算 >云硬盘备份”。 3. 找到云硬盘所对应的备份。 4. 单击备份所在行的“恢复数据”。 注意 恢复数据之后将导致备份时间点的数据覆盖云硬盘数据，一旦执行，无法回退。 5. 点击确定 6. 单击“确定”。 删除备份 用户可以根据实际情况删除无用的备份以节省空间和成本。 说明 云硬盘备份支持两种方式删除备份：手动删除和过期自动删除。过期自动删除备份可以通过设置备份策略中的保留规则来实现，详情请参见

本文为您介绍什么是专属云（计算独享型）。 专属云（CTDeC，Dedicated Cloud）是从公有云上物理隔离的专属虚拟化资源池，用户独享专用的服务器集群，并可在控制中心统一管理。 专属云分为专属云计算独享型（简称计算专属云）和专属云存储独享型（简称存储专属云）： 计算专属云实现计算资源的物理独享，存储和网络资源逻辑独享。 存储专属云实现计算和存储资源的物理独享，网络资源逻辑独享。 计算专属云是指在中国电信已经建设的公有云资源池上隔离出来的专属虚拟计算资源池，支持用户申请独占的物理设备，独享物理隔离的计算资源。用户通过独立的租户在该资源池内申请宿主机资源后，可以在其上发放弹性云服务器，用户可对专属计算资源统一管理。 产品架构 专属云（计算独享型）服务的产品架构如下图所示： 计算专属云实现计算资源的物理独享与存储资源的逻辑独享。 存储专属云实现计算资源与存储资源的物理独享。 计算专属云与存储专属云实现网络资源逻辑独享。 计算专属云、存储专属云与公有云使用统一的控制中心。控制中心采用多租户模式，分权分域地管理用户资源。 计算专属云可支持宿主机HA功能，前提条件为已预留HA设备。通过宿主机HA功能，云主机恢复成功率达到99.5%以上，云主机平均恢复时长可控制在90s以内，能够显著增强系统的稳定性。建议计算专属云中均预留HA设备以保证业务的正常运行。更多HA问题可查看 常见问题。

本文为您介绍创建脚本黑名单的具体操作。 概述 脚本黑名单用于定义不同资源和脚本语言中禁止执行的操作。用户可以在创建脚本之前或之后设置黑名单。然而，一旦黑名单生效，相关类型脚本的创建、编辑和修改都必须经过黑名单内容的检测，以确保合规性。 使用条件 每种资源类型下同一种语言的黑名单数量上限为5个，每个黑名单的内容数量上限为10个。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“脚本管理”“脚本黑名单”，进入脚本黑名单列表页。 5. 点击页面右上角“创建黑名单”按钮，弹出创建黑名单弹窗。 6. 填写脚本黑名单相关信息。各配置项说明如下： 参数 是否必填 配置说明 黑名单名称 √ 填写黑名单名称。黑名单名称需唯一。 长度为263字符。 适用资源分类 √ 选择适用资源类型，当前支持主机、数据库两类。 主机支持Linux/Unix/Windows；数据库支持MySQL/Redis/PostgreSQL/MongoDB。 脚本语言 √ 选择脚本语言，当前支持Shell、Python2。 黑名单内容 √ 填写黑名单内容，上限为10个，中间以英文逗号分隔，长度不超过200字符。 黑名单描述 × 填写黑名单的描述。 长度为0100个字符。 7. 填写配置信息完毕后，点击“确定”按钮，完成黑名单创建，列表中新增一条状态为启用的黑名单记录。

本章介绍如何新增备份目录。 场景说明 完成安装客户端后，云服务备份系统会自动识别已安装成功的客户端，并显示在“云服务备份 > 文件备份 > 文件备份”客户端列表中。需要手动将已安装客户端资源中需要备份的文件路径添加至云服务备份中。 约束与限制 单个备份资源最多支持添加8个文件目录。 单个目录下文件数不超过50万个，建议执行文件备份的主机配备4GB以上可用内存。 每个目录支持的数据量不超过500GB。 文件路径只能为绝对路径，如以/、C:、D:开头的文件路径。 操作步骤 1. 登录云服务备份控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击“”，选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击“新增备份目录”。 4. 将需要备份的文件路径粘贴至“备份文件路径”中。单击“确定”。 5. 添加成功后，待备份的文件路径将会出现在下方。 移除目录 如果不再需要备份目录，或者已超出目录上限需要删除，可以进行移除目录操作。 1. 登录弹性云主机控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击目标目录的“移除目录”。移除目录后，将无法对该文件进行备份操作。已产生的备份将不会被删除，可用于恢复数据。未产生备份的目录路径将会被彻底移除，请谨慎操作。 4. 单击“确定”，完成目录移除。