本文主要介绍弹性IP计费类的问题。 在开通按需按流量计费方式的弹性IP实例后，流量如何进行收费？ 在开通按需按流量计费方式的弹性IP实例后，将收取出云流量费用，即VPC内通过此弹性公网IP地址发送至互联网的流量。 包年/包月的共享带宽实例到期销毁后，为何会产生按需流量费以及IP保有费？ 如包年/包月的共享带宽实例在到期前，加入此共享带宽中的按需弹性IP没有被您手动释放掉，那么此共享带宽实例中的所有按需弹性IP将在共享带宽实例到期销毁后，全部自动转换为按需按流量计费方式的弹性IP。 若这些弹性IP与您的主机或其它资源实例处于绑定状态，且与互联网持续进行通信，那么将会向您收取按需流量费用；若这些弹性IP处于未绑定状态，则会收取按需计费方式的IP保有费。

本页介绍天翼云TeleDB数据库标签管理相关操作。 在标签管理页面用户可对标签进行管理，新增和删除标签，用户可以为主机和实例添加标签。用户可根据标签键和标签值进行标签的搜索。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择系统管理 > 标签管理 ，进入标签管理页面。您可以在标签列表中查看您的标签信息，包括标签键、标签值、标签关联的资源数量等信息。 3. 添加标签 (1) 在标签列表上方，单击新建标签 。 (2) 填写标签键和标签值，然后单击确定 。 4. 删除单个标签 (1) 在标签列表中，找到目标标签，单击操作 列的删除 。 (2) 确认信息无误后，单击确定 。 5. 删除多个标签 > 在标签列表中，勾选多个标签后，单击标签列表上方的批量删除 。

简单组网 对于相对简单的业务场景，可以仅使用一个VPC。VPC下创建不同子网，对应不同功能或安全区域。 比如：用户搭建一个web网站，业务简单，无需和其他网络互通。 所有服务器全部放到一个个VPC内。 业务子网分为web/APP/DB三个区域，分别放置Web业务经典三层架构的对应服务器。 如有运维和远程接入需求，可再创建相应子网，运维和接入区子网用于部署堡垒机或管理鉴权设备，方便客户远程接入部署业务和运维。 方便后续通过子网ACL的访问权限控制能力实现各个功能区域间的隔离和放通。 复杂组网 针对业务相对复杂的场景，一个VPC对应一个相对独立的业务应用系统或部门网络。 比如：一家大型车企业务上云后，所有业务共享同1根专线连接线下数据中心。 不同业务或部门分别承载在不同的VPC。 不同VPC分别通过对等连接连接到整个系统的公共资源VPC，共享专线访问。

本章节主要介绍物理机的登录类的问题。 物理机开机或者重启后，无法登录或云硬盘丢失，如何解决？ 问题描述 物理机开机或重启后，无法登录或云硬盘丢失。 可能原因 网络拥塞或者丢包导致物理机获取IP或者挂载数据卷（云硬盘）失败。 解决方案 重启物理机，如果多次重启无效，请联系客服。 远程登录物理机时，对浏览器版本有什么要求？ 用户采用远程登录方式访问物理机时，使用的浏览器应满足下表。 支持的浏览器版本 浏览器 版本 Google Chrome 31.0及以上 Mozilla FireFox 27.0及以上 Internet Explorer 10.0及以上 远程登录物理机时界面操作无响应，如何解决？ 问题描述 远程登录物理机时，按“Enter”后界面无任何响应。 可能原因 物理机操作系统内部配置不允许通过远程访问。 解决方案 登录物理机，进入操作系统进行相关设置，各操作系统的配置有所不同，以下仅提供部分操作系统配置示例， 步骤 1修改配置文件。 对于SUSE Linux Enterprise Server 12 SP2/SUSE Linux Enterprise Server 12 SP1/Ubuntu 16.04 Server/CentOS Linux 7.3/EulerOS 2.2操作系统，使用vi编辑器打开“/etc/default/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 对于Oracle Linux 7.3/Red Hat Enterprise Linux 7.3操作系统，使用vi编辑器打开“/etc/sysconfig/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 步骤 2 刷新配置。 对于SUSE Linux Enterprise Server 12 SP2/Oracle Linux 7.3/Red Hat Enterprise Linux 7.3/CentOS Linux 7.3/EulerOS 2.2操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grub2mkconfig o /boot/grub2/grub.cfg systemctl enable serialgetty@ttyS0 对于Ubuntu 16.04 Server操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grubmkconfig o /boot/grub/grub.cfg systemctl enable serialgetty@ttyS0 步骤 3（可选）修改安全配置文件。 如果使用root用户通过串口进行登录，需要修改安全配置文件。在“/etc/securetty”最后添加如下信息： 步骤 4执行reboot重启操作系统。 物理机操作系统配置完成后，重新远程登录，确认是否可以登录成功。

本节介绍如何为Web应用防火墙v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 Web应用防火墙设备开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 Web应用防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的Web应用防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启Web应用防火墙系统 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。 登录Web应用防火墙界面 在云等保专区左侧导航栏，选择“Web应用防火墙”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 开启IPv6防护 开通Web应用防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本节主要介绍如何导入、导出告警。 约束与限制 仅支持导入.xlsx格式的文件，单次导入文件大小不超过5MB，且单次导入数据不超过100条。 最多支持导出9999条告警信息。 导入告警 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面中，单击告警列表左上角的“更多 > 导入”。 说明 仅支持导入.xlsx格式的文件，单次导入文件大小不超过5MB，且单次导入数据不超过100条。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入告警信息。 7. 待导入告警文件填写完成后，在导入告警对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出告警 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 单击告警列表左上角的“更多> 导出”，弹出导出对话框，系统默认导出当前告警列表中的全量告警，最多支持导出9999条告警信息。同时也支持在告警管理列表中，勾选您需要导出的告警，并单击告警列表左上角的“更多> 导出”，弹出导出对话框，该场景下仅导出用户勾选的告警。 说明 最多支持导出9999条告警信息。 6. 在导出告警对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的告警列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载告警excel表格到本地。

参数 是否必填 参数类型 说明 示例 下级对象 key 是 String 上传Object的名称。如果名称包含路径，例如cts/1.jpg，则会自动创建相应的文件夹 1.jpg policy 是（有条件） String Policy规定了请求表单域的合法性，是一段经过UTF8和Base64编码的JSON文本。不包含Policy表单域的请求被认为是匿名请求，并只能访问publicreadwrite的Bucket， 当Bucket为非publicreadwrite或者提供了AccessKeyId（或Signature）表单域时，必须提供Policy表单域 acl 否 String 在文件表单域中指定Object的访问权限。取值： private,publicread， publicreadwrite authenticatedread， bucketownerread， bucketownerfullcontrol。默认private private xamzmeta 否 String 用户指定的user meta值 xamzmetalocation CacheControl 否 String 指定该对象被下载时网页的缓存行为 请参见RFC 2616 ContentType 否 String 文件类型 image/jpeg xamzsecuritytoken 否 String 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌 ek+NvIdz ContentDisposition 否 String 指定该对象被下载时的名称 请参见RFC 2616 ContentEncoding 否 String 指定该对象被下载时的内容编码格式 请参见RFC 2616 Expires 否 String 过期时间 请参见RFC 2616 successactionredirect 否 String 上传成功后客户端跳转到的URL。如果未指定该表单域，返回结果由successactionstatus表单域指定。如果上传失败，返回错误码，并不进行跳转 successactionstatus 否 String 未指定successactionredirect表单域时，该表单域指定了上传成功后返回给客户端的状态码。 有效值：200、201、204（默认）。其中 200或者204，返回一个空文档和相应的状态码， 201，返回一个XML文件和201状态码，如果未设置或者设置为一个非法值，返回一个空文档和204状态码。注：如果设置为null则返回400 201 file 是 String 文件或者文本内容。一次只能上传一个文件。注意：file必须为最后一个表单域

介绍配置STS角色管理的具体步骤。 适用场景 媒体存储提供STS角色管理功能，无需向临时用户透露您的长期密钥，您可以为临时用户颁发一个自定义时效和权限的访问凭证，使您的资源访问更加安全。 注意 使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 前提条件 登录媒体存储控制台。 已完成新建Bucket操作，具体可参考 新建Bucket 。 通过控制台创建STS角色 操作步骤 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 点击【添加角色】，进行角色添加。 3. 在添加角色弹窗，填写角色名称、选择受信实体、存储区域、授权资源后，点击【确认】完成创建。 配置参数 参数 参数说明 角色名称 支持英文字母、数字以及短横线。 受信实体 受信任的实体账户，可以是本账号、本账号其下的子账号以及其他主账号。 存储区域 选择该角色的授权区域。 授权资源 根据授权区域，选择授权的资源，即存储桶，支持多选。 备注 根据需求填写备注字段，不超过50个字符。 获取角色ARN信息 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 找到对应的角色，点击角色名或操作列的【查看角色】按钮。 3. 进入角色详情页面，在基础信息里可获取对应的ARN信息，用以获取STS临时密钥。 修改授权范围 如需要修改角色对应的授权资源范围，可参考如下步骤操作： 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 找到对应的角色，点击角色名或操作列的【查看角色】按钮。 3. 在角色详情页【资源范围】栏的最右侧，点击【编辑】按钮。 4. 在弹窗需修改对应的授权资源，并点击【确定】完成操作。 实践应用 STS临时凭证的实践应用，可参考 移动应用使用临时凭证直传 。

本章主要介绍翼MapReduce的恢复NameNode数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对NameNode进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对NameNode进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复NameNode任务并恢复数据。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的NameNode数据。 建议一个恢复任务只恢复一个组件的元数据，避免因停止某个服务或实例影响其他组件的数据恢复。同时恢复多个组件数据，可能导致数据恢复失败。 HBase元数据不能与NameNode元数据同时恢复，会导致数据恢复失败。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 恢复数据后需要重启NameNode，重启完成前NameNode不可访问。 恢复数据后可能导致元数据与业务数据无法匹配，HDFS进入安全模式且HDFS服务启动失败。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 登录FusionInsight Manager，请参见登录管理系统。 在FusionInsight Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件保存路径是否保存在主管理节点“ 数据存放路径 /LocalBackup/”。

本章节主要介绍使用Hive客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Hive客户端 前提条件 已安装客户端，例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。 使用Hive客户端（MRS 3.x之前版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行以下命令配置环境变量。 source bigdataenv 4.根据集群认证模式，完成Hive客户端登录。 安全模式，则执行以下命令，完成用户认证并登录Hive客户端。 kinit 组件业务用户 beeline 普通模式，则执行以下命令，登录Hive客户端，如果不指定组件业务用户，则会以当前操作系统用户登录。 beeline n 组件业务用户 说明 进行beeline连接后，可以编写并提交HQL语句执行相关任务。如需执行Catalog客户端命令，需要先执行!q命令退出beeline环境。 5. 使用以下命令，执行HCatalog的客户端命令。 hcat e "cmd" 其中 "cmd" 必须为Hive DDL语句，如 hcat e "show tables" 。 说明 若要使用HCatalog客户端，必须从“组件管理”页面单击“下载客户端”，下载全部服务的客户端。Beeline客户端不受此限制。 由于权限模型不兼容，使用HCatalog客户端创建的表，在HiveServer客户端中不能访问，但可以使用WebHCat客户端访问。 在普通模式下使用HCatalog客户端，系统将以当前登录操作系统用户来执行DDL命令。 退出beeline客户端时请使用!q命令，不要使用“Ctrl + c”。否则会导致连接生成的临时文件无法删除，长期会累积产生大量的垃圾文件。 在使用beeline客户端时，如果需要在一行中输入多条语句，语句之间以“;”分隔，需要将“entireLineAsCommand”的值设置为“false”。 设置方法：如果未启动beeline，则执行beelineentireLineAsCommandfalse命令；如果已启动beeline，则在beeline中执行!set entireLineAsCommand false命令。 设置完成后，如果语句中含有不是表示语句结束的“;”，需要进行转义，例如 select concatws(';',collectset(col1)) from tbl 。

本页介绍了文档数据库服务参数。 能否调整实例的时区设定 鉴于无法调整文档数据库服务的时区设置，您可以通过在应用程序中获取当前时间并将其插入到表中的方式来处理。 用户需要关注实例的哪些参数 storage.engine 这个参数用于指定 MongoDB 使用的存储引擎，默认为 WiredTiger。可以根据需求选择其他存储引擎，如 InMemory 引擎或 MMAPv1 引擎。 storage.wiredTiger.engineConfig.cacheSizeGB 对于使用 WiredTiger 存储引擎的 MongoDB，这个参数用于配置缓存大小，即存储引擎使用的内存量。根据数据量和可用内存设置合适的值。 net.maxIncomingConnections 这个参数限制 MongoDB 实例可以同时处理的连接数。通过适当设置这个参数，可以控制 MongoDB 的并发连接数量。 security.authorization 使用这个参数可以启用或禁用 MongoDB 的访问控制功能。设置为 true 时，需要进行身份验证才能访问 MongoDB。 MapReduce提示不支持JavaScript MapReduce是一种用于对大型数据集进行处理和分析的功能强大的工具。然而，从安全性和性能方面考虑，在某些情况下可能会限制使用JavaScript代码，包括在MapReduce中执行JavaScript代码。 这种限制的目的是为了减少潜在的安全风险，避免不当的代码执行以及提高执行效率。JavaScript代码的执行可能会引起一些潜在的问题，例如代码注入攻击和性能下降。 为了安全考虑，mongodb默认限制了JavaScript脚本的执行。 文档数据库服务数据一致性策略：writeConcern与readConcern的运用与限制 MongoDB的写入和读取是数据库操作中重要的两个方面。为了确保数据的可靠性和一致性，MongoDB提供了writeConcern和readConcern这两个机制。 当我们谈论writeConcern时，实际上是在谈论写入操作的策略。通过配置writeConcern，我们可以控制数据写入的行为。例如，当我们将writeConcern设置为"majority"级别时，MongoDB会确保数据被写入到大多数节点上，从而降低了数据丢失的风险。这意味着，即使部分节点发生故障，大多数节点仍然保存着相同的数据，保障了数据的可靠性。 而readConcern则是与读取操作相关的策略。当我们设置readConcern为"majority"级别时，MongoDB会确保所读取的数据已经被写入到了大多数节点上。这就消除了因为读取操作而引起的脏读问题，因为我们可以确信读取到的数据已经经过大多数节点的确认。 然而，需要注意的是，目前文档数据库服务并不直接支持设置readConcern为"majority"级别。但这并不妨碍我们保障数据的一致性。通过设置writeConcern为"majority"，我们可以将数据写入到大多数节点，从而实现了大多数节点数据的一致性。随后，通过读取单个节点的数据，仍然可以保证读取到的内容是已经经过多数节点确认的，避免了脏读的问题。

本节主要介绍使用Rediscli迁移自建Redis(RDB文件) Rediscli是Redis自带的一个命令行工具，安装Redis后即可直接使用Rediscli工具。Rediscli提供了RDB文件导出功能，如果Redis服务不支持获取AOF文件，可以尝试通过Rediscli获取RDB文件。然后再通过其他工具（如RedisShake）导入到DCS的缓存实例中。如果是需要通过OBS桶将源端备份数据迁移到DCS缓存实例，请参见使用备份文件离线迁移自建Redis。 约束与限制 建议选择业务量较少的时间段进行迁移。 源端为Redis原生集群的数据时，需要针对集群的每个节点分别导出数据，然后逐一导入数据。 前提条件 如果您还没有目标Redis，请先创建目标Redis，具体操作请参考创建实例。 如果您已有目标Redis，则不需要重复创建，为了对比迁移前后数据及预留足够的内存空间，建议在数据迁移之前清空目标实例数据，清空操作请参考清空实例数据。如果没有清空实例数据，数据迁移后，目标Redis与源Redis实例重复的数据迁移后会被覆盖，源Redis没有、目标Redis有的数据会保留。 已创建弹性云主机ECS。 自建的源Redis实例必须放通SYNC命令，否则无法使用Rediscli导出RDB文件。 导出RDB文件 1. 导出前准备 对于主备或集群实例，数据写入RDB文件有一定的时延，时延策略配置在redis.conf文件中。因此，建议先了解待迁移redis实例的RDB策略配置，然后暂停业务系统并往Redis实例写入满足数量条件的测试key，确保RDB文件为最新生成。 例如，redis.conf中对RDB的默认策略配置如下： plaintext save 900 1 //900秒内有数据变更则写入RDB文件 save 300 10 //300秒内有10条以上数据变更则写入RDB文件 save 60 10000 //60秒内有10000条以上数据变更则写入RDB文件 因此，可以参考以上数据写入RDB策略，在停止业务系统向Redis实例写入数据后，主动写入测试数据若干，触发策略并写入RDB文件，确保业务数据均已同步导RDB文件中。 测试数据可以在导入后删除。 说明 如果有某个数据库没有被业务系统使用，可以将测试数据写入该数据库，待导入DCS后，使用flushdb命令清空该库。 单机实例如果不做持久化配置，则RDB文件需要临时生成，导出耗时较主备实例相比稍多一些。 2. 登录弹性云主机。 3. 安装Rediscli客户端。该操作以客户端安装在Linux系统上为例进行说明。 a. 执行如下命令下载Redis。您也可以安装其他Redis版本。具体操作，请参见[Redis官网](

sessionpreloadlibraries (string) 这个变量指定一个或者多个要在连接开始时预载入的共享库。它包含逗号分隔的库名称列表，其中每个名称都被解释为LOAD命令。项之间的空白被忽略； 如果需要在名称中包含空格或逗号，请用双引号括住库名。 这个参数只在连接开始时起效。后续的改变没有效果。如果指定的库没有找到，连接尝试将会失败。只有超级用户更够更改这个设置。这个特性的意图是允许在特定会话中载入调试用的或者测量性能的库，而不需要显式的给出一个 LOAD命令。例如，通过用ALTER ROLE SET设置这个参数可以 为一个给定用户名下的所有会话启用autoexplain。还有，无需重启 服务器就能更改这个参数（但是只有新会话启动时才会生效），这样可以以这种方式更容易地增加新模块，即便它们会应用到所有会话。和sharedpreloadlibraries不同，相对于在库被第一次使用时载入它，在会话开始时载入库并没有什么性能优势。不过，当使用连接池时这样做还是有一些优势。 sharedpreloadlibraries (string) 这个变量指定一个或者多个要在服务器启动时预载入的共享库。它包含逗号分隔的库名称列表，其中每个名称都被解释为LOAD命令。项之间的空白被忽略；如果需要在名称中包含空格或逗号，请用双引号括住库名。这个参数只能在服务器启动时设置。如果指定的库没有找到，服务器将无法启动。有些库需要执行只能在postmaster启动时发生的特定操作，例如分配共享内存、保留轻量级锁 或者启动后台工作者。这些库必须通过这个参数在服务器启动时载入。其他库也能被预载入。通过预载入一个共享库，当该库被第一次使用时就可以避免库的启动时间。不过，启动每个新服务器进程的时间可能会略有增加，即使该进程从不使用该库。因此，推荐只把这个参数用于那些要在大多数会话中使用的库上。还有，改变这个参数要求重启服务器，因此对于短期的调试任务来说这不是好的选择，应该转用 sessionpreloadlibraries。注意在 Windows 主机上，在服务器启动时预载入一个库并不会减少启动每个新服务器进程所需的时间；每一个服务器进程将会重新载入预载入的库。不过，对于那些要在postmaster启动时执行操作的库来说，Windows 主机上的 sharedpreloadlibraries任然有用。

此小节介绍数据库安全查看数据库详细的SQL语句信息。 添加的数据库连接到数据库安全审计实例后，您可以查看该数据库详细的SQL语句信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入SQL语句页面，操作步骤如下图所示。 4. 查询SQL语句信息，如下图所示。 您可以按照以下方法，查询指定的SQL语句。 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。 选择“风险等级”（“全部”、“高”、“中”、“低”或“信任”），单击“提交”，列表显示该级别的SQL语句。 单击“高级选项”后的，输入相关信息，如下图所示，单击“提交”，列表显示该选项的SQL语句。 高级选项信息 5. 在需要查看详情的SQL语句所在行的“操作”列，单击“详情”，如下图所示。 查看SQL语句详情 6. 在“详情”提示框中，查看SQL语句的详细信息，如下图所示，相关参数说明如下表所示。 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 数据库IP 执行SQL语句所在的数据库的IP地址。 数据库端口 执行SQL语句所在的数据库的端口。 客户端IP 执行SQL语句所在客户端的IP地址。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 审计结果 SQL语句的审计结果。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

选择主机审计页签，可对终端设置桌面监控。 配置项 说明 开关机审计 审计用户的开关机行为，管理员可配置审计时间段。 系统登录防护 对系统账户登录进行细粒度的精准访问控制。 文件访问监控 监控目标文件、目录的改写操作。 开关机审计 审计用户的开机、关机行为，管理员可配置审计时间段。适用于需要自定义开关机审计功能的场景。 1. 选择开关机审计页签。 2. 点击开关机审计后的图标，设置审计时机和审计周期。 详细配置请参见下表： 处置方式 说明 审计时机 开机审计：审计终端开机事件。 关机审计：审计终端关机事件。 审计周期 全时段审计：审计所有时间段的开机、关机事件。 指定时间段审计：审计指定时间段的开机、关机事件，需要设置时间段（以周为周期）。 指定时间段不审计：不审计指定时间段的开机、关机时间，需要设置时间段（以周为周期）。 系统登录审计 对系统账户登录情况进行统计，并针对异常登录场景分析。适用于需要自定义审计登录结果相关场景。 1. 选择系统登录审计页签。 2. 勾选登录审计成功或者是失败按钮图标后，即可开启系统登录审计的相关策略。 详细配置请参见下表： 参数 说明 登录审计 审计登录成功：记录登录成功的终端日志。 审计登录失败：记录登录失败的终端日志。

本文介绍终端管理客户端功能发布记录。 终端管理客户端介绍 终端管理客户端主要提供终端安全、敏捷运维、高级威胁等能力。 如需下载客户端，请访问终端管理下载页面。 Windows 64bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。 Windows 32bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。

在线测试功能允许用户无需任何配置和代码,直接在控制台对检测服务进行体验验证。支持输入测试、输出测试、图片检测三种模式,适合开发人员接入前的效果预验证,以及运营人员日常的功能体验。 对图片内容进行安全审核，对应 API 中的 imagesecuritycheck 服务。 使用限制 在线测试（包括输入测试、输出测试、图片检测）每月免费额度合计 10 次，所有测试类型共享该额度。当月剩余次数会在页面说明栏中显示。 操作步骤 1. 单击 “图片检测”标签页。 2. 上传本地图片文件，或单击下方“预设图片测试用例”中的“应用”，选择内置示例图片。 3. 单击“进行测试”，系统对图片进行风险分析并返回结果。 4. 若图片存在风险，弹窗将提示“检测未通过”并注明风险类型（如“政治敏感”）。 预设图片用例包含：政治敏感示例、宣扬暴力示例、宣扬淫秽色情示例、违反社会主义核心价值观示例、歧视性内容示例、侵犯他人合法权益示例、危险行为示例等。

导入/导出API 1.登录API安全网关。 2.在左侧导航栏选择“资源 > API”，进入API列表页面。 3.单击页面上方的“导入/导出API”按钮。 4.在弹出的对话框中选择YAML或JSON文件导入即可。 说明 目前仅支持YAML、JSON两种文本格式的描述文件。 导入已存在的API会默认跳过，最多可创建50个API。 上传的文件将覆盖编辑器中的内容，文件大小不可以超过100KB。 后续操作 生命周期管理：选择需要上线/下线的API，单击“操作”列的“上线/下线”按钮即可上线/下线API。 配置API：选择需要配置的API，单击“操作”列的“配置”按钮即可配置API。 删除API：选择需要删除的API，单击“操作”列的“删除”按钮即可删除API。 查看API：选择需要查看的API，单击“操作”列的“更多 > 查看”按钮即可查看API。 克隆API：选择需要克隆的API，选择“操作”列的“更多 > 克隆”按钮即可克隆API。

服务网格支持集成外部授权服务，通过自定义授权服务策略，您可以轻松定义自定义的外部授权服务并将策略应用到网格数据面，实现灵活的安全管控能力。 策略配置说明 配置项 说明 安全策略名称 策略名称 协议 HTTP和GRPC协议的外部授权服务 服务地址 实现了Envoy extauthz授权接口的服务名称，如extauth.default.svc.cluster.local 服务端口 授权服务端口 超时时间 数据面请求外部授权服务的超时时间，如1s，2.5s 鉴权服务不可用时放行请求 访问鉴权服务失败或者鉴权服务返回5XX状态码时是否放行请求，默认关闭 鉴权服务不可用自定义错误码 请求鉴权服务出现网络错误时返回自定义状态码 在鉴权请求中携带请求Body 是否将请求Body带到鉴权服务 鉴权请求携带Body的最大长度(Byte) 允许携带到鉴权服务的Body最大长度 允许将不完整消息发送至鉴权服务 在请求Body超出最大长度限制时，若不启用该选项则将拒绝请求并返回HTTP 413 在鉴权请求中携带header 指定将请求中的部分Header带到鉴权服务 在鉴权请求中新增header 请求鉴权服务时新增Header 在鉴权通过时覆盖Header 鉴权通过时使用鉴权服务返回的Header覆盖原始请求Header访问上游 鉴权失败时覆盖Header 鉴权通过时使用鉴权服务返回的Header覆盖应答Header返回给下游

在微服务架构和云原生环境中,服务发布策略至关重要,它决定了新功能如何安全、高效地发布到生产环境。本文介绍目前被业界广泛采用的服务发布策略,包括蓝绿部署、A/B测试以及金丝雀发布。 蓝绿部署 概念 蓝绿部署是一种通过冗余资源保障服务高可用的发布策略。它会同时维护两套完全相同的生产环境（蓝色旧版和绿色新版），平时仅由蓝色环境承载流量，绿色环境作为热备待命。发布时只需将流量无缝切换至绿色环境，旧版则转为备用状态。 这种设计既确保了发布过程零停机，又能在新版本故障时实现秒级回切，大幅降低业务风险。由于双环境资源对等，无需担心容量不足问题，但需要额外支付一倍的资源成本。 蓝绿部署特别适合对稳定性要求严苛的关键业务系统，通过牺牲部分资源成本换取绝对的发布安全性和快速回滚能力。 如下图所示，某服务旧版本为v1，对新版本v2进行冗余部署。版本升级时，将现有流量全部切换为新版本v2。当新版本v2存在问题或者发生故障时，可以快速切回旧版本v1。 优点 部署结构简单，运维方便。 服务升级过程操作简单，周期短。

本节主要介绍重启实例。 操作场景 出于维护目的，您可能需要重启数据库实例。 使用须知 实例状态为“正常”、“异常”、“恢复检查中”，支持重启实例。 重启实例会导致服务中断，请谨慎操作。 重启实例后，该实例下所有节点将会被重启。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择兼容类型为InfluxDB的指定实例，选择操作列“更多 > 重启实例”。 您也可以在“实例管理”页面，单击指定实例的名称，在页面右上角，单击“重启实例”。 4. 若您已开启操作保护，在“重启实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 5. 在弹出框中，单击“是”重启实例。 对于GeminiDB Influx集群实例，您可以根据业务需求，选择节点同时重启或者节点逐个重启。 图1 重启GeminiDB Influx实例 对于GeminiDB Influx单节点实例，直接点击是即可。 图2 重启GeminiDB Influx单节点实例

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

敏感数据识别任务扫描完成后，可通过DSC服务的“识别结果”页面，查看数据资产的风险分布、风险等级以及敏感数据存在的位置。 前提条件 已至少执行过一次敏感数据识别任务。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 选择左侧导航树中的“敏感数据识别 > 识别结果”，进入识别结果页面。 数据安全中心DSC统计了高风险、中风险和低风险对象的数量及分布图，分别包括大数据、数据库、OBS三个服务。 数据安全中心DSC针对扫描对象提供了详细的识别结果列表，同时，您可以在检测结果列表右上角筛选您想要查看的敏感数据识别结果，可通过风险等级、任务名称、数据类型或者对象名称进行筛选，识别结果列表参数说明如下表所示。 参数名称 参数说明 资产名称 敏感数据识别的对象名称。 数据类型 OBS、数据库、大数据 、MRS。 所属任务 任务名称，检测结果对象隶属的敏感数据检测任务名称。 未知风险信息 根据您设置的识别规则，经检测，未发现风险的资产数量。 低风险敏感信息 根据您设置的识别规则，经检测，统计的低风险（风险等级：1~3级）的资产数量。 中风险敏感信息 根据您设置的识别规则，经检测，统计的中风险（风险等级：4~7级）的资产数量。 高风险敏感信息 根据您设置的识别规则，经检测，统计的高风险（风险等级：8~10级）的资产数量。 上次识别时间 最近扫描该对象的时间。 操作 单击“查看详情”，查看该对象的识别结果明细。 4. 单击扫描对象所在行的“操作”列的“查看详情”，然后进入“结果明细”页面。 在页面的左上角的下拉框中选择任务名称、数据类型或者对象名称，可以通过筛选来查看具体扫描对象的识别结果。 单击页面的右上角的“下载识别结果”，下载风险结果报表。 敏感信息分布 可查看敏感信息的风险分布情况、对应风险等级资产的数量及其占比、Top10命中规则。 血缘图 可查看资产中敏感数据的具体名称、路径、风险等级。

此小节介绍数据库安全设置被添加的数据库需要审计的风险操作。 添加的数据库开启审计功能后，您可以通过添加风险操作，设置被添加的数据库需要审计的风险操作。 注意 一条审计数据只能命中风险操作中的一个规则。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加风险操作的实例。 6. 选择“风险操作”页签。在风险操作列表左上方，单击“添加风险操作”。 7. 在“添加风险操作”界面，设置基本信息和客户端IP地址，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 风险操作名称 您可以自定义风险操作的名称。 test 风险级别 选择风险操作的级别，可以选择以下级别：l 高l 中l 低l 无风险 高 状态 开启或关闭风险操作。：开启：关闭 应用到数据库 选择应用该风险操作的数据库。 客户端IP/IP段 输入客户端的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 192.168.0.0 8. 设置操作类型、操作对象、执行结果，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 操作类型 风险操作的类型，包括“登录”和“操作”。当选择“操作”时，可以选择“全部操作”，或选择“数据定义（DDL）”、“数据操作（DML）”或“数据控制（DCL）”的操作。 操作 操作对象 单击“添加操作对象”后，输入“schema”、“目标表”和“字段”信息。单击“确定”，添加操作对象。 执行结果 设置“影响行数”和“执行时长”的执行条件后，输入行数和时长值 9. 单击“保存”。

本文介绍如何设置防护规则的优先级。 如您需调整放行或阻断IP的优先级顺序您可以参照本节步骤设置规则的优先级。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 在需要调整优先级的防护规则所在行的“操作”列，单击“设置优先级”。 5. 选择“置顶”，或“移动至选中规则后”。 说明 选择置顶，表示将该策略设置为最高优先级。 选择“移动至选中规则后”，需要选择相应的规则，表示将该策略优先级设置到选择的规则之后。 6. 单击“确认”，完成设置优先级。

通过已有镜像构建多架构镜像 1. 若本地已有多个单架构镜像，则可以将其合并成一个多架构镜像。本节以一个arm64架构和一个amd64架构的Nginx镜像为例进行演示。 2. 登录容器镜像服务企业版实例。 plaintext docker login –username 3. 通过 docker tag和 docker push命令将单架构镜像分别推送至容器镜像服务企业版实例: plaintext docker tag nginx:arm64 / /nginx:arm64 docker push / /nginx:arm64 docker tag nginx:amd64 / /nginx:amd64 docker push / /nginx:amd64 4. 通过 docker manifest create命令创建一个多架构镜像的Manifest List: plaintext docker manifest create / /nginx:multi / /nginx:arm64 / /nginx:amd64 5. 通过 docker manifest push命令将Manifest List推送到容器镜像服务企业版实例中: plaintext docker manifest push / /nginx:multi

平台侧确认注册成功 NVR设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。 添加下级平台 在【添加设备】的设备配置页面，下拉设备类型选择Platform，填写设备名称、设备地址、经纬度和所属行业等相关信息后，进入下一步。 在接入配置页面，选择GB28181凭证并勾选资源包，完成设备添加后，与平台进行级联。 GB35114协议接入 GB35114是公共安全视频监控联网信息安全技术标准，在GB/T 28181的基础上对监控联网视频信息以及控制信令信息保护提出了进一步的安全要求，使用国密算法、数字签名、数字证书等技术确保前端设备身份真实可信、控制信令来源可信、内容防篡改，保护视频数据不泄密。 添加设备 在添加国标设备的接入配置页面，若选择启用GB35114协议，则无需选择GB28181凭证即可完成设备创建。 SIP服务信息获取 GB35114设备注册前，还需要获取SIP服务信息和设备国标ID等信息，用户可以进入设备详情页查看。 接入信息：获取设备国标ID。 SIP服务信息：可获取SIP服务器ID、SIP服务器域、SIP服务器地址、SIP服务器TCP端口和UDP端口。

对等连接产品为您提供灵活快捷的云上多VPC私网互联服务,本文带您了解对等连接的产品优势。 使用灵活，支持同账号、不同账号建连 支持在同一区域内的同一用户不同VPC之间、不同用户VPC之间以及公有云与专属云的VPC之间创建对等连接。 安全可控，自主授权 不同用户之间的VPC创建对等连接时，需要用户提供对端账户名和VPC ID，且需要对端用户接受才可建立连接。 简单易用，配置灵活 天翼云提供Web管理平台，用户可登陆Web页面轻松实现连接创建、路由策略配置。 内网可达，无公网费用 使用对等连接的两个VPC通信时，通过资源池内部网络进行互通，不会绕行公网。

本节主要介绍如何编辑工作空间。 操作场景 工作空间新增成功后，您可以对工作空间的基本信息（ 名称 、标签和描述）进行修改。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击待编辑工作空间右侧的，进入工作空间详情页面。 5. 在工作空间的“基本信息”页签中，单击“编辑”。 6. 编辑工作空间名称、标签或描述后，单击“保存”。

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文对虚拟私有云产品计费进行说明。 虚拟私有云产品收费一览表 产品资源 收费情况说明 VPC 免费 子网 免费 虚拟IP 免费 DHCP选项集 免费 弹性网卡 免费 路由表 免费 对等连接 免费 IPv4网关 免费 IPv6网关 免费 安全组 免费 ACL 免费 前缀列表 免费 端口列表 免费 流量镜像 如果您使用了流量镜像资源，则需要支付费用。 详细计费说明请参见流量镜像计费说明 流日志 免费 组播 如果您使用了组播资源，则需要支付费用。 详细计费说明请参见组播计费说明 路径分析 免费 说明 针对免费资源，当前暂不收费。待后续启动收费时，将会提前通知您。

冷启动优化最佳实践 相比于其他函数上传代码方式部署，容器镜像会带来额外的数据下载和解压的时间。为了更好的冷启动体验，推荐以下最佳实践： 容器镜像地址推荐使用与函数计算同地域的VPC镜像地址，减少镜像拉取延时。 镜像进来裁剪体积，基于类似Alpine或Ubuntu这样的最小镜像或者是其他镜像中精简版本构建自定义镜像。仅保留必要的依赖。 容器镜像配合预留实例一起使用。 在资源允许和线程安全的情况下，搭配使用单实例多并发功能，可避免不必要的冷启动，同时降低成本。更多信息，请参见配置单实例并发度。 计费说明 容器镜像函数的计费项与其他类型函数的计费项一致。