应用性能监控(Application Performance Monitoring,APM)是天翼云可观测体系中的一款产品,帮助您进行应用性能管理。应用性能监控APM为分布式应用提供性能监控、链路追踪、告警管理等能力,帮助您实现全栈性能监控与端到端追踪诊断,降低运维成本,提升排障效率,为您的应用健康保驾护航。

应用性能监控支持在Java应用的业务日志中关联调用链的TraceId信息，当应用出现问题时，可通过调用链的TraceId快速关联业务日志，及时定位、分析并解决问题。 背景信息 在业务日志中关联调用链TraceId的功能基于MDC（Mapped Diagnostic Context）机制实现，支持主流的Log4j、Log4j2和Logback日志框架。 前提条件 1、应用已接入Java探针 2、已开通云日志服务并创建了对应的日志项目和单元，详情请参考管理日志项目与管理日志单元。 操作步骤 1. 开启关联业务日志与TraceId 登录应用性能监控控制台，在应用列表 页面点击具体应用进入应用详情，点击导航栏应用设置 进入应用设置页面，在左侧tab栏选择日志开启设置 即可看到开启按钮。开启后选择指定的日志项目与日志单元。 2. 在日志中打印TraceId Log4j配置文件log4j.properties的修改示例： plaintext log4j.appender.FILE.layout.ConversionPatterntraceId:%X{traceid} spanId:%X{spanid} [%d] %t %c %L %5p %m%n Log4j2配置文件log4j2.xml的修改示例： plaintext %d{yyyyMMdd HH:mm:ss.SSS} [%mdc{traceid}] [%mdc{spanid}] [%thread] %5level %logger{1.} %m%n Logback配置文件logback.xml的修改示例： plaintext

套餐包名称 CPU规格 小时核数 内存规格 小时GB GPU规格 小时卡 存储规格 GB 标准资费 有效期限 NVIDIA A10 月套餐 5,840 23,360 730 2691.74 一个月 NVIDIA A100 月套餐 5,840 23,360 730 7661.94 一个月 GPU.gn3.m1 月套餐 5,840 23,360 730 1176.47 一个月 GPU.gn4.2xl1 月套餐 5,840 23,360 730 3000.21 一个月 NVIDIAH800PCIE 月套餐 5,840 23,360 730 19059.77 一个月 NVIDIAL40S48G 月套餐 5,840 23,360 730 7182.41 一个月 NVIDIAH800NVLINK 月套餐 5,840 23,360 730 22414.408 一个月 NVIDIA A10 年套餐 70,080 280,320 8,760 34200.79 一年 NVIDIA A100 年套餐 70,080 280,320 8,760 97351.63 一年 GPU.gn4.2xl1 年套餐 70,080 280,320 8,760 37442.59 一年 NVIDIAH800PCIE 年套餐 70,080 280,320 8,760 241493.47 一年 NVIDIAL40S48G 年套餐 70,080 280,320 8,760 90581.18 一年 NVIDIAH800NVLINK 年套餐 70,080 280,320 8,760 284117.18 一年 BCCPU.科研版资源包 4,320 639.19 一年 CPU基础加油包 5,000 256.50 一年 CPU专业加油包 50,000 2295.00 一年 CPU企业加油包 500,000 20250.00 一年 内存基础加油包 20000 342.00 一年 内存专业加油包 200000 3060.00 一年 内存企业加油包 2000000 27000.00 一年 BCGPU.NVIDIAA1024G资源包 360 1078.92 一年 BCGPU.NVIDIAA10040G资源包 360 3674.16 一年 BCGPU.RTX3060资源包 360 320.40 一年 BCGPU.RTX3080资源包 360 489.60 一年 BCGPU.RTX3090资源包 360 777.60 一年 BCGPU.GN4.2xl1资源包 360 975.60 一年 BCGPU.NVIDIAA100PCIE80G资源包 360 7257.60 一年 BCGPU.NVIDIAA800NVLINK40G资源包 360 4059.72 一年 BCGPU.NVIDIAH800PCIE资源包 360 9253.44 一年 BCGPU.Ascend910B资源包 360 3110.40 一年 BCGPU.NVIDIAL2048G资源包 360 2462.40 一年 BCGPU.NVIDIAA80080GPCIE资源包 360 4312.44 一年 BCGPU.NVIDIAA80080GNVLINK资源包 360 4493.88 一年 BCGPU.NVIDIAL40S48G资源包 360 3194.64 一年 BCGPU.NVIDIAH800NVLINK资源包 360 11016.00 一年 BCSTO.专业入门版资源包 18000 14.58 一年 BCSTO.专业性能版资源包 18000 15.91 一年

本章节会介绍如何开启或关闭事件定时器。 操作场景 事件定时器Event Scheduler是事件（event）调度任务的总开关。由于原生事件定时器不能保证主、备库的event状态一致，一旦进行主备切换会导致event调度失败。关系型数据库MySQL提供了event状态同步功能，确保相关的event正常调度。该功能依赖在console上开启、关闭事件定时器来实现。 创建实例时，事件定时器默认不开启。 主、备实例切换后，事件状态同步是否开启保持不变，依然保持主库“eventscheduler”为“on”，备库为“off”。 恢复到新实例时，事件状态与原实例保持一致。 单机实例转为主备实例，事件状态与主实例保持一致。 约束条件 仅支持MySQL内核5.6.43.2、5.7.25.2和8.0.17.4及其以上版本。若您的数据库版本不在该范围内但想使用该功能，请参考升级内核小版本进行升级。 不支持只读实例开启此功能。 开启事件定时器功能 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的主备实例，单击主实例名称。 步骤 5 在“基本信息”，在“数据库信息”模块的“事件定时器”处，单击。 注意 开启事件定时器后，请重新激活之前创建的事件（即重新执行事件脚本），确保主、备的事件状态一致。 结束

在微服务场景中，当下游服务出现异常，或下游服务返回的不是预期内的结果时，这时会对上游业务造成影响。通过配置服务降级功能，可以对下游服务进行降级处理，返回预期内的结果。服务降级是指在下游服务出现不可用或响应过慢时。上游服务主动调用本地的降级逻辑，迅速返回给用户。降级逻辑中可以返回异常码，也可以返回一个固定的数据。熔断可以理解为降级中的一部分。 前提条件 已部署应用。 已开通 MSE 微服务治理。 说明 使用 MSE 时会产生单独费用。MSE 的计费说明，请参见微服务治理计费概述。 功能入口 1. 登录 CAE控制台，在左侧导航栏选择应用管理 > 应用列表，然后单击目标应用名称。 2. 在左侧导航栏，选择微服务治理 > 流量治理 ，单击服务降级。 服务降级规则参数说明 参数 说明 规则名称 服务降级规则的名称。 描述 规则的详情描述。 服务提供者应用 服务提供者，被降级的应用。 降级应用 选择应用为待降级应用。 服务降级规则列表 框架类型 SpringCloud和Dubbo。 服务路径 服务的接口。 请求方法 GET/POST。 执行策略 所有请求生效/异常请求生效。 降级策略 降级策略分为四种，分别是返回Null值、返回Exception异常、返回自定义Json数据、自定义回调。 默认状态 默认打开或关闭规则。

本文介绍如何添加服务组。 服务组是多个服务（协议、源端口、目的端口）的集合。通过使用服务组，可帮助您有效应对需要重复编辑访问规则的场景，并且方便管理这些访问规则。 约束条件 每个服务组中最多添加64个服务成员。 每个防火墙实例下最多添加512个服务组。 每个防火墙实例下最多添加900个服务成员。 添加自定义服务组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“服务组”页签，单击“添加服务组”，弹出“添加服务组”界面，填写服务组名称及描述。 参数 说明 服务组名称 需要添加的服务组名称。 描述 标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 服务列表 协议：当前支持的协议为：TCP、UDP、ICMP。 源端口：设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的端口：设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 描述：标识该服务组的使用场景和用途，以便后续运维时快速区分不同服务组的作用。 6. 确认填写信息无误后，单击“确认”，完成添加服务组。

支持控制是否采集调用链以及设置调用链采样率。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用设置」「调用链采集设置」。 功能说明 是否采集调用链 默认采集，如果关闭开关，将停止调用链采集上报。 采样率设置 支持设置公共采样率，用来控制除慢调用、错误调用之外的采样率。慢调用、错误调用系统默认全采，不支持修改。 采样率设置说明： 采样率默认为10。 调大采样率可能会消耗额外的系统资源，有最大每秒采集条数限制。 每秒采集100条的情况下，开销在300m内存左右。如需调整每秒最大采集数，可修改限流阈值。 阈值设置 Agent端每秒最大可处理请求数, 默认100条。大于该阈值的调用链, 不被收集。

本文将介绍如何为轻量型云主机添加防火墙规则,并介绍防火墙功能预设的端口信息。 操作场景 防火墙可以对轻量型云主机的网络访问进行控制，每台轻量型云主机的防火墙默认放行了22端口（SSH服务）、3389端口（windows远程登录）、80端口（http端口）、443（https端口）端口的入方向端口。用户可在此基础上添加其它的防火墙规则，来完善防火墙的安全设置。 操作步骤 1.登录天翼云，进入控制中心。 2.单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3.单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4.进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5.单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 单击“添加规则”弹出添加弹窗，用户需要按照要求进行填写，字段说明如下。 字段名 说明 IP版本 取值：IPV4、IPV6，单选，必填。 方向 取值：入方向、出方向，单选必填。 授权策略 取值：允许、拒绝，单选，必填。 协议 取值：ANY、TCP、UDP、ICMP，单选，必填。 端口范围 取值为介于1到65535之间的数字。如输入错误则输入款变红，下置文字提示：端口范围在 1到 65535之间，必填。 源地址 取值为数字，子网IP地址与子网掩码是否匹配的校验逻辑同云主机，必填。 描述 取值：100个以内字符，选填。如超出字数限制，下置文字提示：请输入100个以内字符。 添加规则： 7. 完成配置后，单击“确定”，即可完成防火墙规则的添加。

如何开启ipv6访问？ 在开通实例时，您需要选择已开启ipv6的VPC与子网，并打开ipv6开关。开通完成后，将自动为实例分配ipv6地址。您可登录实例控制台获取ipv6连接地址，可通过IPv6地址段访问实例。 应用客户端 连接拒绝Connect faild 解决方案：当出现这类问题时，检查当前网络并无异常时，并排查下ulimit –a openfiles是否为1024，修改至65535。 超时异常RemotingTimeoutException 服务器端日志出现RemotingTimeoutException：wait response on the channel timeout, 3000ms。 解决方案：这类情况一般由于客户端与服务端通信出现问题，可以ping Ip 以及telnet ip port 来排查这类，同时也要检查防火墙的问题。 找不到路由No route info of this topic 问题可能原因： 没创建topic。 name server填错了。 网络问题无法获取路由。 解决方案： 在管理台创建topic。 检查客户端配置的namesrv的地址是否配错了。 检查网络是否正常。 备不可用SLAVENOTAVAILABLE 当生产者发送消息时，出现“status:SLAVENOTAVAILABLE”，说明从节点发生状况。 解决方案： 从节点机器出现问题，重启从节点，并查看网络连接。 在多网卡情况下，broker配置文件properties中，需增加配置项，例如：brokerIP110.4.246.130，brokerIP210.4.246.130 防止网卡ip读取错误，取不到从节点信息。 消息体大小越界 客户端报此类异常Fail to send message, for: message body size over max message size, max: 524288。 解决方案： 检查服务端的最大消息体大小，即启动broker配置文件的maxMessageSize大小，如未配置，默认是512K。 检查客户端设置的最大消息体(默认128k)是否小于当前发送的消息体大小。 注意：ROCKETMQ建议消息体在50K或以下(压缩后)。

响应参数 参数 是否必填 参数类型 说明 示例 下级对象 PostResponse 是 Array of Objects 保存Post请求结果,此响应参数只有在返回状态码为201的时候，才返口 PostResponse 表 PostResponse 参数 是否必填 参数类型 说明 示例 下级对象 Bucket 是 String bucket的名称 Key 是 String 对象的名称 Location 是 String 新创建的Object的URL 请求示例 http POST /testBucket HTTP/1.1 请求头header http Host: Bucgdoss.xstore.ctyun.cn Date: Wed, 28 Oct 2023 09:32:00 GMT ContentType: multipart/formdata;boundaryxxxxxx ContentLength: xxx 请求体body http ContentDisposition: formdata; name"key" key xxxxxx ContentDisposition: formdata; name"successactionstatus" 200 xxxxxx ContentDisposition: formdata; name"AWSAccessKeyId" 67CF9530006ee252 xxxxxx ContentDisposition: formdata; name"policy" XXX1dfQ xxxxxx ContentDisposition: formdata; name"Signature" CToYNv66bsee20+dcGKw5x2P xxxxxx ContentDisposition: formdata; name"file"; filename"test.txt" ContentType: text/plain file content xxxxxx 响应示例 HTTP/1.1 200 OK xamzrequestid: tx00000000000000000 Date: Thu, 15 Sep 2022 08:36:33 GMT Connection: keepalive 响应示例 http HTTP/1.1 200 OK xamzrequestid: tx00000000000000000 Date: Thu, 15 Sep 2022 08:36:33 GMT Connection: keepalive 状态码 状态码 错误码 描述 200 操作成功 400 InvalidArgument 缺少特定参数或者参数不合法 403 AccessDenied 用户没有权限执行操作 404 NoSuchBucket 操作指定的桶不存在 404 NoSuchKey key对应的对象不存在 错误码 请参考 请求错误码（原生接口）。 POST签名 关于POST请求Policy以及相关签名的详细介绍，请参见POST请求签名（V2版本）及POST请求签名（V4版本）介绍。

枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "volumeOid":"XXXXXX", "cycleType":"Month", "volumeSize":20, "cycleCnt":1 } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":{ "totalPrice":2.0, "subOrderPrices":[{ "totalPrice":2.0, "serviceTag":"BUSINESSCPC", "finalPrice":2.0, "cycleCount":1, "orderItemPrices":[{ "itemId":"b614e07f881511ed96fe34800d4715e7", "instanceCnt":"1.0", "totalPrice":2.0, "ctyunName":"云电脑（政企版）", "finalPrice":2.0, "resourceType":"BUSINESSCPCVM" }] }], "finalPrice":2.0, "isSucceed":true } } 状态码 请参考 状态码 错误码 请参考 错误码

尊敬的天翼云客户，分布式缓存服务Redis版自2025年12月27日起，订购和续订2年、3年选项默认不开放，调整为白名单特性。 调整时间 2025年12月27日 影响范围 所有区域 调整影响 新订购和续订的实例默认不开放2年、3年选项，您可以选择1年包年选项，如仍需要23年包周期选项，请联系技术支持开通后使用。 已购买2年、3年且还在服务期间的实例仍可继续正常使用不受影响。

本节介绍翼甲卫士的基础管理功能。 用户开通翼甲卫士后，可在AI云电脑（政企版）控制台安全防护进入翼甲管理界面。 绑定/解绑/更换带宽 点击“操作”后可在下拉菜单点击对应选项，对带宽绑定状态进行变更，支持解绑、更换、绑定（操作生效期间会导致关联AI云电脑35分钟无法上网）。 扩容 点击“操作”后可在下拉菜单点击扩容，对各项配置进行扩容，支持公网流量处理能力、日志容量、短信告警配置扩容。

本章节介绍离群摘除功能的使用 概述 在微服务场景中，当服务提供者的实例出现异常时，服务消费者无法感知到提供者出现异常，此时就可能出现异常调用。通过配置离群摘除功能可以实时监测下游实例的可用性，摘除异常实例，提升业务的可用性。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Dalston及以上版本 Dubbo 2.5.3+ 支持Apache Dubbo 不支持Alibaba Dubbo Jdk版本 1.8+ 开通离群摘除 1. 登录微服务治理中心控制台。 2. 在左侧导航栏选择 微服务治理中心 >应用治理。 3. 在应用治理页面单击目标应用卡片。 4. 在应用页面左侧导航栏选择流量治理 离群实例摘除，可查看离群实例摘除规则列表。 4. 在创建离群实例摘除页面配置相关参数，并单击确认。 离群摘除规则参数说明： 参数 说明 策略名称 离群摘除规则的名称。 被调用服务所用框架 Spring Cloud或Dubbo。 选择生效应用 选择生效应用后，该应用调用的异常应用实例会被摘除。 错误率下限 被调用的应用中某个应用实例的错误率高于设置的域值后，将摘除该实例。 默认值为50%。例如该实例在统计时间窗口内被调用10次，有6次调用失败，错误率为60%，超过了配置的错误率域值（50%），则从应用中移除该实例。 异常类型 目前只支持网络异常+业务异常（HTTP 5xx）。 QPS下限 QPS按照统计时间窗口进行计算，默认为10秒。 摘除实例比例上限 摘除的异常实例比例上限，即达到阈值后，不再摘除异常实例。 恢复检测单位时间 摘除的异常实例比例上限，即达到阈值后，不再摘除异常实例。 未恢复累计次数上限 持续对异常实例进行检测，检测间隔随检测次数按恢复检测单位时间线性增加，当达到设置的检测次数上限后，会按最长时间间隔持续检测异常实例是否恢复。 默认状态 默认是否开启离群摘除规则。

本节主要介绍快速创建组件 ServiceStage系统默认提供了3个模板，请参见已有模板说明。 模板提供了组件类型、语言/运行时 、框架/服务网格的默认配置，可以帮助您快速创建组件。 前提条件 1.只能在应用下新增组件，请先创建应用，请参考创建应用。 2.如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至OBS对象存储中。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击“操作”栏的“新增组件”。 3、“配置方式”选择“使用模板配置”，选择模板，单击“下一步”。 4、参照下表设置组件信息，参数前面带号的是必须设置的参数。 表 组件基本信息 参数 参数说明 组件名称 组件对应的名称 开启微服务CSE名称匹配 创建微服务组件时，为了统一应用和微服务引擎（CSE）内对于服务名的命名，在微服务引擎（CSE）内默认是从环境变量或者microservice.yaml/application.yaml配置文件读取微服务信息，这样就可能造成两个地方名称不统一，开启这个选项后，会把应用的信息设置成微服务引擎的环境变量，覆盖配置文件配置的信息，使得两者模型完全统一。 说明 如果是第一次在应用下创建微服务组件，本参数可配置，配置后将无法更改。 软件包 1. 选择“Jar包”、“War包” 说明 运行时为“Java8”时，选择“Jar包”。 运行时为“Tomcat8”时，选择“War包”。 选择“上传方式”：将软件包上传至OBS对象存储中 （可选）设置“开启构建”参数，用于应用组件构建。 2. 根据业务需要选择“组织”和“选择集群”参数。也可选择“过滤节点标签”，可以通过节点标签将构建任务下发到固定节点上。新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 5、完成组件创建： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。

对于包周期订购后，支持通过控制台进行退订操作。 具体操作如下： 步骤1：登录Kafka专享版控制台，在实例列表中，右侧的“更多”菜单下拉选择“退订”按钮； 步骤2：进入退订管理界面后，按页面提示选择“退订原因”，并勾选“我已同意本次退订金额及相关费用详情”，点击“退订”按钮完成后续流程。

参数 说明 规则名称 服务降级规则的名称。 描述 规则的详情描述。 服务提供者应用 服务提供者，被降级的应用。 降级应用 选择应用为待降级应用。 服务降级规则列表 框架类型 SpringCloud和Dubbo。 服务路径 服务的接口。 请求方法 GET/POST。 执行策略 所有请求生效/异常请求生效。 降级策略 降级策略分为四种，分别是返回Null值、返回Exception异常、返回自定义Json数据、自定义回调。 默认状态 默认打开或关闭规则。

Agent安装节点 使用场景 审计功能说明 注意事项 数据库端 ECS/BMS自建数据库 可以审计所有访问该数据库的应用端的所有访问记录。 添加Agent时，“安装节点类型”选择“数据库端”。 应用端 无法登录到数据库节点的部署环境（例如，RDS关系型数据库） 可以审计该应用端与其连接的所有数据库的访问记录。 l 添加Agent时，“安装节点类型”选择“应用端”，如图410所示。 l 当某个应用端连接了多个数据库时，如果该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 代理端 无法登录到数据库节点，且不能在应用端安装Agent的部署环境（例如，RDS关系型数据库且应用端在云下） 只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 添加Agent时，需要将该代理端作为应用端，即“安装节点类型”选择“应用端”，且“安装节点IP”需要配置为该代理的IP地址。

管理员创建钉钉同步任务 仅将钉钉的用户与组织信息进行同步到花卷慧办，花卷慧办进行认证管理（即密码由花卷慧办管理）。 1. 登录花卷慧办控制台。 2. 支持在花卷慧办工作台进行操作。 3. 在左侧导航栏身份第三方组织，选择同步身份源菜单。 4. 点击“添加同步任务”，按需选择同步任务，完成任务配置。 1. 添加同步任务 进入同步身份源列表，点击“添加同步任务”，进行钉钉身份源添加。 2. 选择同步任务 选择“钉钉 同步机构任务”。 3. 配置任务 输入配置参数，完成钉钉身份源同步任务配置。 配置参数说明： 参数 说明 钉钉的APP ID 必填，在钉钉开放平台中的应用开放钉钉应用页面，查看创建的应用，在应用详情中的凭证与基础信息页面获取应用App ID。 钉钉应用的Client ID 必填，在钉钉开放平台中的应用开放钉钉应用页面，查看创建的应用，在应用详情中的凭证与基础信息页面获取应用Client ID和Client Secret。 钉钉应用的Client Secret 必填，在钉钉开放平台中的应用开放钉钉应用页面，查看创建的应用，在应用详情中的凭证与基础信息页面获取应用Client ID和Client Secret。 同步任务名称 必填，支持自定义同步任务名称。 同步钉钉根部门ID 必填，在钉钉管理后台的部门管理编辑部门信息中获取部门ID。 同步至AOneId机构 必填，选择要同步到的AOneId机构。 同步方式 必填，可选择“手动”或者“定时同步”。 手动：启用手动同步任务后，可手动执行同步任务。 定时同步：设置“同步时间”与“同步周期”，启用同步任务后，自动按照定时执行同步任务，期间不可手动执行。

本文指导您通过企业路由器将流量引至云防火墙，并验证网络的连通性。 前提条件 流量互通，确定流量未经过防火墙时正常通信。流量验证请参见《企业路由器用户指南> 验证网络互通情况》。 通过配置企业路由器将流量引至云防火墙 1. 创建VPC边界防火墙，具体操作请参见“创建VPC边界防火墙”。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 添加VPC连接。 单击“防火墙状态”侧的“编辑防护VPC”，进入企业路由器页面，在企业路由器中添加连接，支持添加的连接类型请参见《企业路由器用户指南》中“连接概述”章节。 下文以防护两个VPC为例（至少需要添加两条VPC连接，用于连接两个VPC和ER之间）。操作步骤请参见《企业路由器用户指南 > 企业路由器中添加VPC连接》。 说明 防火墙创建后自动生成一条防火墙连接（名称：cfwerautoattach，连接类型：云防火墙（CFW）），防护VPC的连接需手动添加；每增加一个防护的VPC，都需要增加一条连接。 例如：对VPC1连接命名为vpc1；对VPC2连接命名为vpc2，需防护VPC3时，增加连接命名为vpc3。 如需防护其它账号（如账号B）下的VPC，请将当前账号A的企业路由器共享至账号B，共享步骤请参见《企业路由器用户指南 > 创建共享》，共享成功后在账号B中添加连接，后续配置仍在账号A中进行。 6. 创建两个路由表，作为关联路由表 和传播路由表分别用于连接需防护的VPC和连接防火墙。 单击“路由表”页签，进入路由表设置页面，单击“创建路由表”，参数详情见下表。 参数名称 参数说明 名称 输入路由表的名称。 命名规则如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 描述 您可以根据需要在文本框中输入对该路由表的描述信息。 标签 您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 7. 配置关联路由表。 1. 设置关联功能：在路由表设置页面，选择关联路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在连接下拉列表中，选择需防护的VPC连接。 说明 关联至少需要添加两条，每增加一个防护的VPC，都需增加一条关联。 例如：选择VPC1的连接vpc1以及VPC2的连接vpc2，需防护VPC3时，增加一条关联，选择连接vpc3。 2. 设置路由功能：单击“路由”页签，单击“创建路由”，根据实际数量创建路由功能，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址。 0.0.0.0/0：VPC的所有流量都会经过云防火墙防护 网段：该网段的流量会经过云防火墙防护 黑洞路由 建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择自动生成的防火墙连接（cfwerautoattach）。 描述 （可选）路由的描述信息。 8. 配置传播路由表。 1. 设置关联功能：在路由表设置页面，选择传播路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在下拉列表中，选择自动生成的防火墙连接（cfwerautoattach）。 2. 设置传播功能：单击“传播”页签，单击“创建传播”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在传播下拉列表中，选择需防护的VPC连接。 说明 传播至少需要添加两条，每增加一个防护的VPC，都需增加一条传播。 例如：选择VPC1的连接vpc1以及VPC2的连接vpc2，需防护VPC3时，增加一条传播，选择连接vpc3。 创建传播后，会自动将连接的路由信息学习到ER路由表中，生成“传播路由”。同一个路由表中，不同传播路由的目的地址可能相同，连接配置不支持修改和删除。 您也可以手动在路由表中配置连接的静态路由，同一个路由表中，静态路由的目的地址不允许重复，连接配置支持修改和删除。 如果路由表中存在多条路由目的地址相同，则优先级：静态路由> 传播路由。 9. 修改VPC的路由表。 1. 在左侧导航栏中，选择“网络> 虚拟私有云 > 路由表”，进入“路由表”页面。 2. 在“名称/ID”列，单击对应VPC的路由表名称，进入路由表“基本信息”页面。 3. 单击“添加路由”，参数详情见下表。 参数 说明 目的地址类型 选择“IP地址”。 目的地址 流量到达的网段。 例如两个VPC间防护时，VPC1中添加的路由“目的地址”填写VPC2的网段。 说明 不能与已有路由和VPC下子网网段冲突。 下一跳类型 在下拉列表中，选择类型“企业路由器”。 下一跳 选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。 描述 （可选）路由的描述信息。 说明 描述信息内容不能超过255个字符，且不能包含“ ”。 说明 至少需要为两个VPC添加路由，每增加一个防护的VPC，都需为该VPC增加一条路由。

本小节为云防火墙功能类常见问题。 通过日志审计功能可查看哪些信息？ 在“日志审计”页面，可以详细查看每一条用户攻击信息，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 云防火墙支持哪些维度的访问控制？ 云防火墙当前支持基于五元组、IP地址组、服务组、域名、黑名单、白名单设置ACL访问控制策略；也支持基于IPS（intrusion prevention system，入侵防御系统）设置访问控制。 IPS支持观察模式和阻断模式，当您选择阻断模式时，云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 云防火墙攻击日志，为什么显示还未纳入防护的EIP？ 云防火墙会将所有受到攻击的EIP信息做收集，以便您更好的配置防御策略。

查看URL跟踪视图 在“接口调用”页面查看： 设置为URL跟踪的url，可以单击url前的查看URL跟踪的拓扑图。 图 查看URL跟踪 在“URL跟踪视图”页签查看。 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击对应应用，进入该应用的详情页。 步骤 5 单击“URL跟踪视图”，可以查看该应用下所有的URL跟踪。 步骤 6 可以通过“区域名称”和“环境”进行筛选。 步骤 7 单击需要查看URL跟踪所在行操作列的“查看视图”，即可查看该URL跟踪视图。 图 查看URL跟踪视图 查看URL跟踪配置 设置为URL跟踪的url会显示在URL跟踪配置列表中。 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击对应应用，进入该应用的详情页。 步骤 5 单击“URL跟踪配置”，可以查看该应用下所有的URL跟踪。 图 查看URL跟踪配置列表 步骤 6 如需删除某一URL跟踪，可单击该URL跟踪所在行操作列的“删除”。

本章节介绍Dubbo应用的离群实例摘除功能 概述 在微服务架构中，当服务提供者的应用实例出现异常，而服务消费者无法感知时会影响服务的正常调用，并影响消费者的服务性能甚至可用性。离群实例摘除功能会检测应用实例的可用性并进行动态调整，以保证服务成功调用，从而提升业务的稳定性和服务质量。 查看离群实例摘除策略列表 在左侧导航栏，Dubbo治理 > 离群实例摘除。查看当前账号下的离群实例摘除策略。离群实例摘除策略展示了策略名称、状态、生效应用、针对框架、异常类型、错误下限率、QPS下限、摘除实例比例上限、恢复检测单位时间、未恢复累计次数上限等信息，如果服务较多，可以通过环境、规则名称、被调用方进行筛选或搜索。 创建离群实例摘除策略 在离群实例摘除页面单击创建离群实例摘除策略。 ● 环境：选择一个环境。 ● 策略名称：离群实例摘除策略名称，例如 ctyunremove。 ● 被调用服务所用框架： 未恢复累计次数上限。 ● 选择生效应用：选择生效应用后，该应用的调用的所有应用的异常实例会被摘除。摘除期间，生效应用的调用请求将不再被分发到异常实例。 ● 错误下限率：当被调用的应用中某个应用实例的错误率高于设置的下限后，将摘除该实例。默认值为50%。例如该实例在统计时间窗口内被调用10次，有6次调用失败，错误率为60%，超过了配置的错误率下限（50%），则从应用中移除该实例。 ● 高级配置： 异常类型：选择网络异常+业务异常（HTTP 5xx）。 QPS 下限：QPS按照统计时间窗口进行计算，Spring Cloud应用的统计时间窗口为10秒。当在统计时间窗口（例如10秒）内应用的QPS达到设置的下限后开始进行错误率统计分析。 摘除实例比例上限：摘除的异常实例比例上限，即达到阈值后，不再摘除异常实例。摘除异常实例数向下取整，例如应用实例总数为6，摘除实例比例设置为60%，摘除实例比例数为6 x 60% 3.6，则按策略最多摘除的实例数为3。若计算结果小于1，则不会摘除实例。 恢复检测单位时间：在异常实例被摘除后，按单位时间线性不断累加的时间作为检测间隔，检测异常实例是否恢复正常，单位为ms。默认为30000ms，即0.5分钟。 未恢复累计次数上限：持续对异常实例进行检测，检测间隔随检测次数按恢复检测单位时间线性增加，当达到设置的检测次数上限后，会按最长时间间隔持续检测异常实例是否恢复。例如，恢复检测单位时间设置30000ms，未恢复累计次数上限设置为20，在第20次检测异常实例仍未恢复后，则会按10分钟（20 x 30000 ms）为间隔执行后续的检测。如果检测到实例已经恢复，则会将检测间隔重置为初始的时间间隔，即一次恢复检测单位时间。

CSR生成证书导入 具体操作步骤如下： 1.单击列表上方的“生成证书请求”按钮，进入生成证书请求页面，在该页面生成证书请求并下载到用户本地； 2.上传CSR证书请求到证书签发机构，完成证书签发并下载到本地； 说明 签发证书的增强型用法中要包含时间戳用法。 3.通过“更新证书”导入证书； 4.完成证书文件导入后，生成可用的时间戳证书。 PFX方式导入证书 具体操作步骤如下： 1.在CA中心签发可用的时间戳证书（单密钥、双密钥均可），选择PKCS12/PFX格式，并下载到用户本地； 说明 签发证书的增强型用法中要包含时间戳用法。 2.在用户证书管理页面选择“导入PFX密钥”，导入PFX文件及密码； 3.完成证书文件导入后，生成可用的时间戳证书。 配置应用 业务应用系统要使用时间戳密码服务前，必须在时间戳密码服务注册，即在时间戳密码服务的应用管理里添加相关的应用信息，提供新增、编辑、删除、启用、停用、访问密钥管理、应用授权等功能。 创建应用 通过左侧菜单栏进入应用管理页面，创建应用，并选择认证方式、是否密钥授权，填入信息后点击“确定”按钮完成应用的新增； 应用认证方式支持两种模式，无认证模式和访问密钥认证模式。 选择“无认证模式”：服务端不会对应用进行校验； 选择“访问密钥认证模式”服务端会校验应用访问密钥「ak」和「sk」的正确性。应用创建之后，需要在应用列表最后的操作列点击“访问密钥管理”，进入访问密钥管理列表页，生成访问密钥，并下载进行妥善保存。 需要密钥授权： 选择“是”，该应用只能使用已授权的时间戳证书，用户需要通过列表右侧操作栏中的“应用授权”为用户授权可用的时间戳证书； 选择“否”，该应用可以任意使用所有的时间戳证书，无论时间戳证书是否在应用授权中进行授权，都可以被业务接口调用。

该任务指导用户通过漏洞扫描服务添加主机。 说明 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版 按次购买主机扫描功能 按次一次性扣费，每次最多可以扫描20台主机。 操作场景 漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。 Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。 Windows主机扫描目前仅支持主机漏洞扫描。 前提条件 已获取管理控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 单击“添加主机”，进入“添加主机”页面。 5. 在“添加主机”页面，执行以下操作。 单个添加主机：单击“添加主机”，如下图所示。 添加主机配置参数说明： 参数名称 参数说明 主机名称 用户需要添加的主机名称。 IP地址 添加主机的公网IP地址。 操作系统类型 支持Linux操作系统和Windows操作系统。 是否使用跳板机 如果用户的主机需要通过代理IP才能访问，需要使用跳板机。 跳板机只支持Linux操作系统。 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 操作 可单击“克隆”复制主机信息。 可单击“删除”删除主机信息。 批量添加主机 1. 单击“批量添加主机”，在“批量添加主机”对话框中，配置IP地址。多个IP地址，使用换行分开。 2. 单击“添加主机”。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，如下图所示，配置说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成，请参见配置Linux主机授权和配置Windows主机授权执行主机授权的操作。

本文指导您同步EIP信息并开启弹性公网IP防护。 如果您未配置访问控制策略或未开启弹性公网IP防护，您的业务流量将只经过云防火墙，云防火墙不会实施拦截操作。 操作步骤 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。 单击页面右上角“资产同步”，将您的弹性公网IP信息导入至列表中，刷新弹性公网IP列表。 说明 当前账号下有多个云防火墙时，资产同步只将“未防护”的EIP同步至列表中。 5. （可选）当您列表IP数量过多时，可执行此步骤进行筛选。 在页面上方搜索下拉框中，选择搜索类型并输入信息，回车键确认，可添加多个筛选条件，右侧进行搜索。 弹性公网IP地址/ID：IP地址，即“弹性公网IP”列；或对应的ID号，由系统自动生成，即“ID”列。 企业项目名称：您同步后显示的项目名称，即“企业项目信息”列。 已绑实例名称/ID：实例名称，如“云服务器”，即“已绑定实例”列中黑色字体的信息；实例名称的ID号，如“ecsctyun0101”，即“已绑定实例”列中蓝色字体的信息。 搜索类型支持模糊搜索。 未选择搜索类型时，默认类型为弹性公网IP地址/ID。 6. 开启弹性公网IP。 开启单个弹性公网IP。在所在行的“操作”列中，单击“开启防护”。 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。 说明 一个EIP只能在一个防火墙上开启防护。 仅支持当前账号所属企业项目下的弹性公网IP。 7. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“已防护”。 说明 EIP开启防护后，访问控制策略默认动作为“放行”。

本文为您介绍如何对已接入的应用进行编辑。 操作场景 在您将应用接入容灾管理中心后，可以通过多活容灾服务控制台编辑您接入的应用。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“应用管理”，进入应用管理页面，点击应用列表中的“编辑”按钮，进入编辑应用页。 5. 在基础信息部分，可以对绑定的云主机、健康检查进行编辑。 1. 编辑绑定的弹性云主机：点击编辑按钮，用户可以通过勾选新增分区内未接入本应用管理空间的ECS，或通过取消勾选移除已接入本应用管理空间的ECS。 2. 编辑健康检查：点击编辑按钮，用户可以修改请求类型、请求频率、超时时间、健康阈值、不健康阈值、请求路径信息。 6. 在数据库信息部分，用户可以修改数据库类型、数据库实例名、数据库地址、数据库数量。在存储信息部分，用户可以修改Bucket名称、Bucket外网域名、Bucket内网域名、Bucket数量。 7. 点击页面下方“确认编辑”按钮，完成编辑操作。

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 否 String 防火墙id和类型必须填一个 dca4f9ffaca2447aa24310c1e62c4690 firewallType 否 String 防火墙id和类型必须填一个 NorthSouth ruleId 是 Long 规则id 1099

本文为您介绍如何通过OpenSearch Dashboards向天翼云云搜索服务OpenSearch实例导入数据。 OpenSearch Dashboards可视化界面提供的Dev Tools控制台允许直接在浏览器中通过REST API向OpenSearch实例发出查询和数据操作请求。 OpenSearch Dashboards可视化界面提供了简单的数据导入功能，适用于小规模数据的手动导入场景，特别是在测试和快速验证场景中非常实用。 适用场景 快速测试与调试：适用于开发阶段测试查询语句、创建索引、插入和更新数据等操作。 简单数据管理：如果只是少量数据操作，如插入、更新、删除数据或查看结果，OpenSearch Dashboards提供了方便的Web界面操作。 无需编程环境：不需要安装额外的客户端工具，只要能访问OpenSearch Dashboards即可操作OpenSearch。 前提条件 已经开通天翼云云搜索OpenSearch实例。 查看OpenSearch Dashboards的终端可以访问到云搜索实例，设置好5601端口的网络安全策略。 实际操作 点击OpenSearch Dashboards输入用户名登录后，进入首页。 右上角可以点击开发工具进入开发工具界面。 如果没有索引，可以创建一个测试索引名为testindex： PUT /testindex { "mappings": { "properties": { "mytest": { "type": "text" } } } } 执行创建索引操作会返回如下信息： { "acknowledged": true, "shardsacknowledged": true, "index": "testindex" } 如果有索引可以使用已有的索引。 往索引中写入数据，以上面创建的索引为例。

本节主要介绍查看/修改iSCSI目标信息。 在“iSCSI目标管理”页面，点击具体的目标名称，可以查看/修改该目标的信息。 图1 iSCSI目标详细信息（单机版） 图2 iSCSI目标详细信息（集群版） 基本信息 项目 描述 编辑 点击“编辑”按钮，可以修改iSCSI目标的“最大会话数”和“回收策略”。 编辑 最大会话数：[0, 1024]，默认值为1。0表示客户端无法发现该iSCSI目标。 编辑 回收策略： 删除：当iSCSI目标关联的卷全部删除后，iSCSI目标自动删除。 保留：当iSCSI目标关联的卷全部删除后，iSCSI目标仍然保留。 目标名称 iSCSI目标名称。 说明 如果iSCSI目标处于删除中，iSCSI目标名称后面会标注状态“删除中”。 最大会话数 iSCSI目标下每个IQN允许建立的最大会话数。 注意 如果多个客户端连接同一target IQN，客户端可以同时读，但不能同写。 iSCSI目标 IQN名称：iSCSI目标的IQN名称。 iSCSI目标 服务器ID：IQN所在的服务器ID。 iSCSI目标 IP:Port：iSCSI目标对应的IP地址和端口。 iSCSI目标 iSCSI目标门户IP：iSCSI目标门户IP和端口。 迁移 点击“迁移”，可以修改iSCSI目标对应的服务器ID（仅集群版支持）。 注意 目前仅支持强制迁移，强制迁移会断开客户端连接，请谨慎操作。 执行迁移target之前，需要保证集群处于working状态，同时目的服务器需要处于正常已连接状态。 如果被迁移的iSCSI target已被卷连接，且该卷已经被客户端挂载，迁移iSCSI target前，需要客户端与原iSCSI target IQN断开；迁移后，确保原iSCSI target IQN不能被发现，客户端重新连接迁移后的iSCSI target IQN。 迁移完成后，请检查并调整target允许访问列表配置，确保符合访问控制要求。 关联的卷 关联的卷名称。括号内容表示卷编号。 回收策略 iSCSI目标的回收策略： 删除：当iSCSI目标关联的卷全部删除后，iSCSI目标自动删除。 保留：当iSCSI目标关联的卷全部删除后，iSCSI目标仍然保留。

通用服务器密码机 数据库加密网关 使用通用服务器密码机对代码进行改造实现对数据库数据加密。 使用专用数据库加密网关进行应用集成实现数据库中数据透明加密。 加密能力深入应用代码，用户自主性高。 应用系统无需进行代码改造，应用集成数据库加密机即可完成数据库的加密改造，数据自动被加密和解密。 应用需进行代码改造，用户、应用开发商、密码机厂商以及测评机构需要紧密配合；应用需要解决加密改造中碰到的技术难题（模糊查询等）。 某些加密模式需要改变应用和数据库的网络拓扑结构。

本文介绍分类分级相关功能，使用户可以快速熟悉分类分级功能的相关操作。 前提条件 用户需要具有进入敏感数据保护页面的菜单权限，菜单权限参考权限说明。 敏感数据保护为企业版功能，请切换到DMS企业版后使用该功能，切换步骤及实例注意事项详见版本说明。 当前仅支持MySQL、PostgreSQL、SQL Server、DRDS数据库。 操作步骤 1. 登录数据管理服务。 2. 在左侧菜单栏依次点击 数据资产 > 敏感数据保护 。 3. 在敏感数据保护页面上方，选择分类分级页签。 注意事项 组织版本由基础版切换为企业版时，需要超级管理员补充托管的账密。 功能介绍 模板管理 查看模版列表 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择 数据资产 > 敏感数据保护 ，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择分类分级页签，进入分类分级页面。 4. 在模板列表中，有模板名称、模板来源、关联实例、描述等信息，支持按照来源、模板名称过滤筛选。 查看/编辑模板 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择 数据资产 > 敏感数据保护 ，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择分类分级页签，进入分类分级页面。 4. 选择任一模版，点击操作列的查看/编辑按钮，即可进入该模版的详情页。 5. 系统内置的模版不支持编辑操作。