视频通道 IPC或NVR设备上视频信号输入的物理位置。一般IPC具备单个/多个视频通道，NVR具备多个视频通道。 RTMP RTMP（Real Time Messaging Protocol）实时消息传输协议的首字母缩写。该协议基于TCP，是一个协议族，包括RTMP基本协议及RTMPT/RTMPS/RTMPE 等多种变种。RTMP是一种设计用来进行实时数据通信的网络协议，主要用来在Flash/AIR平台和支持RTMP协议的流媒体/交互服务器之间进行音视频和数据通信。 RTSP RTSP（Real Time Streaming Protocol），RFC2326，实时流传输协议，是TCP/IP协议体系中的一个应用层协议，由哥伦比亚大学、网景和RealNetworks公司提交的IETF RFC标准。该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据。 GA/T 1400 GA/T 1400与GB/T 28181有共性的地方，比如设备编码规范、信令交互规范等， GB/T 28181定义的是视频联网，GA/T 1400定义的是图片传输，应用最多的是IPC传输图片及相关信息到后端设备/平台，以及视图库平台与平台对接等，比如人脸抓拍机传输人脸图片、人脸特征等到人脸应用平台，车辆抓拍机传输车辆图片、车牌信息到车辆卡口平台。 EHOME EHOME协议是海康威视基于移动监控场景下开发的设备主动注册协议，支持实时预览、录像回放、对讲、报警、定位等功能。EHOME协议不仅实现了GB28181里所有的功能，并且在海康的不同类型设备上支持了其自定义的场合下的功能特性。包括智能报警、在低功耗场景下的设备控制及公网环境下的语音对讲指挥等场景都比GB28181协议更完善。

介绍配置服务端加密的具体步骤。 适用场景 媒体存储支持服务端加密，当用户对存储桶配置服务端加密后，XOS将上传到该桶的对象进行加密，再将加密对象持久化保存。当用户通过GetObject请求下载对象时，XOS自动将加密对象解密后返回给用户，并在响应头中返回xamzserversideencryption，用于声明该对象进行了服务器端加密。 注意 本功能仅会对开启服务端加密之后上传的对象进行加密，不会改变已有对象的加密状态。关闭服务端加密，也不会影响已有对象的加密状态。 产品支持XOS完全托管，即密钥完全托管于服务端。 控制台仅支持配置AES256加密算法。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 配置桶默认加密 创建桶配置服务端加密 在创建桶的弹窗中，选择服务端加密方式以及对应的加密算法。创建桶的具体操作可参考：新建Bucket。 已创建的存储桶开启服务端加密 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要设置服务端加密的存储桶，进入【基础配置】标签页。 3. 在【服务端加密】设置项，点击【编辑】。 4. 在弹窗中选择【XOS完全托管】以及对应的加密算法，点击【确定】完成操作。 关闭桶默认加密 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要关闭服务端加密的存储桶，进入【基础配置】标签页。 3. 在【服务端加密】设置项，点击【编辑】。 4. 在弹窗中选择【无】，点击【确定】。

镜像类型 说明 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用或服务。 私有镜像 包含操作系统、预装的公共应用以及用户的私有应用，仅用户个人可见。选择私有镜像创建物理机服务器，可以节省您重复配置物理机服务器的时间。（用户可以提工单，让运维后台协助您快速完成私有镜像的制作。） 共享镜像 由其他用户共享的私有镜像。

创建子网步骤 方式一：进入虚拟私有云VPC页面创建子网 1. 登录控制中心； 2. 在控制中心找到网络控制台，找到要创建子网的VPC，进入VPC详情页 3. 在VPC详情页选择并单击【子网】，在【子网】页签，单击【创建】； 4. 在新建子网页面，根据页面提示配置参数 参数名称 是否必填 含义 例子 VPC 是 选择要创建子网的VPC VPC1 网段 是 选择VPC下要创建子网的网段（对于有多个网段的VPC要选择网段） 192.168.0.0/16 可用区 否 对于多AZ资源池，子网默认在所有AZ下部署，子网支持跨AZ 对于非多AZ资源池，子网不具有AZ属性，不需要选择可用区。 全部 子网类型 是 选择对应的子网类型，子网分为普通类型和标准裸金属类型，默认选择普通类型。 普通子网 子网名称 是 子网的名称 子网1 描述 否 自定义的子网描述文案 政务网VPC1的xx业务子网 子网网段(IPv4) 是 子网的私有IPv4网段 192.168.3.0/24 网关(IPv4) 是 子网的网关地址 对于多AZ资源池，网关地址默认为.1,不可以指定其他地址 对于非多AZ资源池，网关地址默认为.1,可以指定其他地址. 192.168.3.1 DHCP(IPv4) 是 子网的DHCP地址，仅部分可用区资源池支持指定；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 192.168.3.2 子网IPv6网段 否 是否分配子网的IPv6地址 关闭 DNS服务器地址 否 子网内的云主机访问公网时的DNS 服务器地址，DNS服务器地址最多支持两个IP，请以英文逗号隔开。若您想要通过内网DNS访问云上服务，可以设置的DNS服务器地址为100.95.0.1。 100.95.0.1 方式二：进入子网列表页面创建子网 1. 登录控制中心； 2. 在控制中心找到网络控制台，点击【子网】 3. 在【子网】页签，单击【创建子网】； 4. 在新建子网页面，根据页面提示配置参数 参数名称 是否必填 含义 例子 VPC 是 选择要创建子网的VPC VPC1 网段 是 选择VPC下要创建子网的网段（对于有多个网段的VPC要选择网段） 192.168.0.0/16 可用区 否 对于多AZ资源池，子网默认在所有AZ下部署，子网支持跨AZ 对于非多AZ资源池，子网不具有AZ属性，不需要选择可用区。 全部 子网类型 是 选择对应的子网类型，子网分为普通类型和标准裸金属类型，默认选择普通类型 普通子网 子网名称 是 子网的名称 子网1 描述 否 自定义的子网描述文案 政务网VPC1的xx业务子网 子网网段(IPv4) 是 子网的私有IPv4网段 192.168.3.0/24 网关(IPv4) 是 子网的网关地址 对于多AZ资源池，网关地址默认为.1,不可以指定其他地址 对于非多AZ资源池，网关地址默认为.1,可以指定其他地址。 192.168.3.1 DHCP(IPv4) 是 子网的DHCP地址，仅部分可用区资源池支持指定；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 192.168.3.2 子网IPv6网段 否 是否分配子网的IPv6地址 关闭 DNS服务器地址 否 子网内的云主机访问公网时的DNS 服务器地址，DNS服务器地址最多支持两个IP，请以英文逗号隔开。若您想要通过内网DNS访问云上服务，可以设置的DNS服务器地址为100.95.0.1。 100.95.0.1

本节主要介绍告警概述。 点击导航栏中的“运维”>“告警”，进入“告警”页面，可以查看告警中、已解除和已失效的告警。告警条件、告警解除和告警失效条件详见告警列表 。 注意 告警数据以服务器系统时间为准进行记录。时间被调整，或集群中服务器时间不统一，都可能导致告警数据不准确。但用户的业务数据不会受到影响。

参数名称 描述 name 报文的名称，可修改。 httpversion 协议类型。 支持HTTP、HTTPS、TCP和UDP。 当请求类型为HTTP和HTTPS时，设置以下参数。 method 支持GET、POST、PATCH、PUT和DELETE。 returntimeout 发送请求，等待服务器响应的超时时间。 如果不设置此参数，默认响应超时时间为5000ms。 URL 发送请求的URL地址，比如“ headers 由关键字/值对组成，请求头部通知服务器有关于客户端请求的信息，“头域”的说明请参见 报文内容 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。 说明 请求方式为GET时，不支持报文内容。 当请求类型为TCP时，设置以下参数。 说明 TCP类型的报文暂不支持响应提取功能。 IP 发送请求到被测服务器的IP地址。 port 发送请求到被测服务器的端口号。 connecttimeout 发起连接，服务器无响应的超时时间。 returntimeout 连接建立成功，等待响应返回的超时时间。 连接设置 重复使用连接：请求响应完成后，不断开连接，复用连接发送接收下一次请求响应。 关闭连接：每次完成请求响应完成后，断开连接，下一次重新建立连接。 checkendtype 通过返回结束设置，来判断本次请求的响应内容是否已经接收完成。 返回数据长度：设置返回数据的长度，单位字节。当接收到此长度的响应内容时，数据接收完成。 结束符：设置返回数据的结束标记。当接收到结束符时，数据接收完成 。 说明 结束符建议设置一个唯一的结束标记，如果设置的结束符在响应内容中存在多个，当接收到第一个结束符时，就认为响应内容已经接收完成，这样接收的响应数据就不完整。 body 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 内容格式：请根据被测服务器的业务请求内容，选择“字符串”或“16进制码流”。 说明 16进制码流的内容取值范围为“09”和“af”，且总字符个数为双数。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。

本文简述状态码过期时间的配置方法。 功能介绍 当边缘节点从源站获取资源时，源站会返回响应状态码，您可在客户控制台上配置状态码过期时间，边缘节点会将源站返回的状态码缓存在本地，在状态码过期前，客户端若再次向边缘节点发起相同资源的请求，边缘节点将直接响应缓存的状态码，不会回源请求，可有效减轻源站服务器的压力。当状态码在边缘节点上的缓存时间过期后，客户端再次请求该资源将回源请求。 状态码过期时间主要用于源站响应了异常状态码的场景，例如4xx、5xx。 通常情况下，边缘节点从源站成功获取到资源后，即源站响应了2xx状态码后，会遵循配置的缓存规则和缓存优先级进行缓存。若源站服务器无法立即响应所有状态码（例如:4xx、5xx状态码），或者不希望全部请求都由源站服务器响应，可通过配置状态码过期时间，由边缘节点来响应状态码，减轻源站服务器压力。 典型场景 某文件在源站服务器上已删除，但仍持有用户持续访问，边缘节点没有缓存该文件，所有该文件的请求都会回源，此时源站会响应4xx状态码。此时，可以在边缘节点上配置4xx状态码缓存，客户端多次请求该文件时，边缘节点可以直接响应4xx状态码，无需再回源。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中要配置的域名。 2.进入域名配置详情页面后，选择【缓存配置】，单击【编辑配置】按钮。 3.选择【状态码过期时间】后单击【增加规则】按钮。 4.输入需要缓存的异常状态码，可填多个，使用逗号“,”分割。选择过期时间单位，如秒、分钟、小时、天，再填写对应的过期时间。 5.点击确定。

参数 说明 rsize 每次向服务器读取文件的最大字节数。实际数据小于或等于此值。rsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 wsize 每次向服务器写入文件的最大字节数。实际数据小于或等于此值。wsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 soft/hard 取值为 soft，即软挂载方式挂载系统，如果 NFS 请求超时，则客户端向调用程序返回错误；取值为 hard，即使用硬连接方式，如果 NFS 请求超时，则客户端一直重新请求直至成功。默认为 hard。 retrans 客户端返回错误前的重传次数。建议值：1。 tcp/udp 不指定 mountproto 时，客户端默认先尝试使用 udp 协议挂载，如果 udp 网络不通则会在卡顿几秒后再尝试 tcp 协议挂载。当前默认没有放通安全组入方向 mount 协议的 udp 端口号，需要将 mount 挂载协议设置为 TCP 传输协议，即 mountprototcp。 ro/rw ro：表示采用只读的方式挂载。rw：表示采用读写的方式挂载。默认为 rw。未写明 ro/rw 时，则默认为采用 rw 读写的方式挂载。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 sync/async sync 为同步写入，表示将写入文件的数据立即写入服务端；async 为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求 NFS 服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议设置为 async。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低了HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由全站加速进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，提升了HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 打开【OCSP Stapling】功能，配置完毕单击【保存】。

本文为您介绍查看网络实例的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，在“网络连接实例管理”页签，可以查看已经加载的网络实例。

1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“复制”。 7. 在弹出复制版本信息框中，单击“确定”。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。 容器镜像仓库服务文档参考：容器镜像服务文档。 配置说明 创建弹性容器实例时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。

本文向您介绍如何删除企业版VPN的对端网关。 场景描述 用户根据实际需要删除已创建的对端网关。 约束与限制 若对端网关已被VPN连接关联，则无法直接删除该对端网关，需要先将该对端网关在VPN连接中移除。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 在“对端网关”界面，选择目标对端网关所在行，单击操作列的“删除”。 4. 确定要删除的对端网关信息，单击“是”。

本文主要介绍 集群基本信息。 Kubernetes是一个很容易地部署和管理容器化的应用软件系统，使用Kubernetes能够方便对容器进行调度和编排。 对应用开发者而言，可以把Kubernetes看成一个集群操作系统。Kubernetes提供服务发现、伸缩、负载均衡、自愈甚至选举等功能，让开发者从基础设施相关配置等解脱出来。 Kubernetes可以把大量的服务器看做一台巨大的服务器，在一台大服务器上面运行应用程序。无论Kubernetes的集群有多少台服务器，在Kubernetes上部署应用程序的方法永远一样。 Kubernetes集群架构 Kubernetes集群包含Master节点（控制节点）和Node节点（计算节点/工作节点），应用部署在Node节点上，且可以通过配置选择应用部署在某些特定的节点上。 说明 CCE集群的Master节点由云容器引擎服务创建并托管，您只需创建Node节点。 Kubernetes集群的架构如下所示： 图 Kubernetes集群架构 Master节点 Master节点是集群的控制节点，由API Server、Scheduler、Controller Manager和ETCD四个组件构成。 API Server：各组件互相通讯的中转站，接受外部请求，并将信息写到ETCD中。 Controller Manager：执行集群级功能，例如复制组件，跟踪Node节点，处理节点故障等等。 Scheduler：负责应用调度的组件，根据各种条件（如可用的资源、节点的亲和性等）将容器调度到Node上运行。 ETCD：一个分布式数据存储组件，负责存储集群的配置信息。 在生产环境中，为了保障集群的高可用，通常会部署多个Master，如CCE的集群高可用模式就是3个Master节点。

应用场景 适用于用户的迁移服务器（物理机、弹性云主机）可以访问待迁移数据，且和HPFS网络互通，同时保证可挂载并行文件系统的场景下的迁移操作。 准备工作 1. 创建迁移服务器，如果目标HPFS文件系统是NFS协议，迁移服务器可选择弹性云主机。如果目标HPFS文件系统是HPFSPOSIX协议，迁移服务器需要选择物理机（GPU裸金属）。具体限制请参考操作系统限制。 2. 将HPFS文件系统挂载至物理机或弹性云主机，具体操作请参考挂载文件系统。 操作步骤 迁移命令说明 HPFS数据拷贝是文件系统间数据的迁移，推荐使用数据同步工具rsync（remote synchronize）。 centos环境下rsync安装命令： plaintext yum install y rsync rsync支持本地（类似cp，我们一般选择本地方式）或者远端（类似scp）数据拷贝，可以镜像保存整个目录树和文件系统，支持断点续传，快速安全。 rsync使用说明： plaintext 本地拷贝 rsync [OPTION...] SRC... [DEST] 常用选项： partial 保留那些因故没有完全传输的文件，以是加快随后的再次传输 inplace 将更新的数据直接写入目标文件，避免文件复制 delete 删除那些DST中SRC没有的文件 a, archive 归档模式，表示以递归方式传输文件，并保持所有文件属性，等于rlptgoD v, verbose 详细模式输出 c, checksum 打开校验开关，强制对文件传输进行校验 数据拷贝时间可能很长（用户数据量除以数据拷贝带宽），为防止下线执行命令退出，可以采用后台执行的方式执行rsync命令： plaintext nohup rsync a partial inplace v $srcdir $destdir &;

自定义网络ACL 假设您需要指定子网内的某个弹性云服务器做Web服务器，您需要在入方向需要放通HTTP 80和HTTPS 443端口，出方向全部放通。当您启用网络ACL时防护时，需要配置相应的网络ACL规则。 方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 :::::::: 入方向 允许 TCP 0.0.0.0/0 165535 0.0.0.0/0 80 允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口。 入方向 允许 TCP 0.0.0.0/0 165535 0.0.0.0/0 443 允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口。 出方向 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 允许子网内所有出站流量的数据报文通过。 网络ACL相当于一个额外的保护层，如果您的安全组规则配置不当，网络ACL规则也仅允许HTTP 80和HTTPS 443的访问，拒绝其他的入站访问流量。 注意 对于地域资源池来说，无论是入方向规则还是出方向规则，请确保每个方向都存在允许响应流量出入的规则。 临时端口 不同类型的客户端发起请求时使用的端口不同，您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。 客户端 端口范围 Linux 3276861000 Windows Server 2003 10255000 Windows Server 2008及更高版本 4915265535

本节主要介绍添加SNAT规则的操作步骤。 操作场景 公网NAT网关创建成功后，您可以为公网NAT网关添加SNAT规则。通过添加SNAT规则，云专线用户侧端的服务器可以通过共享弹性IP访问互联网。 一个网段对应一条SNAT规则，如果云专线用户侧有多个网段中的服务器需要访问公网，则可以通过创建多个SNAT规则实现共享一个或多个弹性IP资源。 操作前提 公网NAT网关创建成功。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。 进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加SNAT规则的公网NAT网关名称。 4. 在SNAT规则页签中，单击“添加SNAT规则”。 5. 根据界面提示，配置添加SNAT规则参数，详情请参见下表。 表 SNAT规则参数说明 参数 说明 使用场景 在云间NAT网关高速访问互联网的场景下，此处选择云专线。 表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过SNAT的方式访问公网。 网段 通过配置云专线本地数据中心的某个网段，使该网段中的服务器通过SNAT方式访问公网。 弹性IP 用来提供互联网访问的公网IP。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 6. 配置完成后，单击确定，完成“SNAT规则”创建。 7. 在SNAT规则列表中查看详情。 若“状态”为“运行中”，表示创建成功。 说明 根据您的业务需求，可以为一个公网NAT网关添加多条SNAT规则。 VPC内的每个子网只能添加一条SNAT规则。

本文带您了解快速熟悉弹性负载均衡证书管理功能。 如果ELB的监听器和客户端之间使用HTTPS，需要在ELB上部署SSL证书。ELB先使用此证书来终结客户端的HTTPS连接，解密来自客户端的请求，再将客户端请求通过HTTP方式发送到后端主机组。 天翼云负载均衡器支持两种类型的证书，服务器证书、CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。 证书标准 天翼云同时支持国际标准和国密（SM2）标准两种类型，方便不同行业属性的公司灵活选择适合当前业务的证书标准。 单向认证 客户端需要认证主机端的真实性，而主机端不需要认证客户端的真实性。当配置ELB HTTPS类型的监听器时，需要绑定服务器证书。 双向认证 客户端需要认证主机端真实性，同时主机端也需要认证客户端的真实性，需要双方都通过认证，才能正常建立连接响应请求。当配置ELB HTTPS类型的监听器，并开启双向认证时，在为监听器绑定服务器证书的同时，还需要绑定CA证书来验证客户端的真实性。这样只有当客户端能够出具指定CA签发的证书时，HTTPS才能连接成功。 使用须知： 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。负载均衡器只支持原始证书，不支持对证书进行加密。 目前ELB不支持对证书有效期等进行检查。 ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。

支持多种数据库工具 DWS 提供了以下几款自研工具，用户可以在DWS 管理控制台下载相关的工具包。 gsql工具 它是一款运行在Linux操作系统的命令行SQL客户端工具，用于连接DWS 集群中的数据库，并对数据库进行操作和维护。 Data Studio工具 它是一款运行在Windows操作系统上的图形界面SQL客户端工具，用于连接DWS 集群中的数据库、管理数据库和数据库对象，编辑、运行、调试SQL脚本，查看执行计划等。 GDS工具 它是DWS 提供的数据服务工具，通过和外表机制的配合，实现数据的高速导入导出。 GDS工具包需要安装在数据源文件所在的服务器上，数据源文件所在的服务器称为数据服务器，也称为GDS服务器。 DSC SQL语法迁移工具 DSC（Database Schema Convertor）是一款运行在Linux或Windows操作系统上的命令行工具，致力于向客户提供简单、快速、可靠的应用程序SQL脚本迁移服务，通过内置的语法迁移逻辑解析源数据库应用程序SQL脚本，并迁移为适用于DWS 数据库的应用程序SQL脚本。 DSC支持迁移Teradata、Oracle、Netezza、MySQL和DB2数据库的SQL脚本。 gsdump和gsdumpall gsdump支持导出单个数据库或其内的对象，而gsdumpall支持导出集群中所有数据库或各库的公共全局对象。 通过导入工具将导出的元数据信息导入至需要的数据库，可以完成数据库信息的迁移。 gsrestore 在数据库迁移场景下，支持使用gsrestore工具将事先使用gsdump工具导出的文件格式，重新导入DWS集群，实现表定义、数据库对象定义等元数据的导入。

本章介绍如何新增备份目录。 场景说明 完成安装客户端后，云服务备份系统会自动识别已安装成功的客户端，并显示在“云服务备份 > 文件备份 > 文件备份”客户端列表中。需要手动将已安装客户端资源中需要备份的文件路径添加至云服务备份中。 约束与限制 单个备份资源最多支持添加8个文件目录。 单个目录下文件数不超过50万个，建议执行文件备份的主机配备4GB以上可用内存。 每个目录支持的数据量不超过500GB。 文件路径只能为绝对路径，如以/、C:、D:开头的文件路径。 操作步骤 1. 登录云服务备份控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击“”，选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击“新增备份目录”。 4. 将需要备份的文件路径粘贴至“备份文件路径”中。单击“确定”。 5. 添加成功后，待备份的文件路径将会出现在下方。 移除目录 如果不再需要备份目录，或者已超出目录上限需要删除，可以进行移除目录操作。 1. 登录弹性云主机控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击目标目录的“移除目录”。移除目录后，将无法对该文件进行备份操作。已产生的备份将不会被删除，可用于恢复数据。未产生备份的目录路径将会被彻底移除，请谨慎操作。 4. 单击“确定”，完成目录移除。

登录弹性云主机（SSH密码方式） 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照下面方式登录弹性云主机。下面步骤以PuTTY为例。 1.登录MapReduce服务管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群基本信息页面。 3.在“节点管理”页签单击Master节点组中某一Master节点名称，登录到弹性云主机管理控制台。 4.选择“弹性公网IP”页签，单击“绑定弹性IP”为弹性云主机绑定一个弹性公网IP并记录该IP地址，若已绑定弹性公网IP请跳过该步骤。 5.运行PuTTY。 6.单击“Session”。 a.Host Name (or IP address)：输入弹性云主机所绑定的弹性公网IP。 b.Port：输入 22。 c.Connection Type：选择 SSH。 d.Saved Sessions：任务名称，在下一次使用PuTTY时就可以单击保存的任务名称，即可打开远程连接。 详见下图： 单击Session 7.单击“Window”，在“Translation”下的“Remote character set:”选择“UTF8”。 8.单击“Open”登录云服务器。 如果首次登录云服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击“是”将证书保存到本地注册表中。 9.建立到云服务器的SSH连接后，根据提示输入用户名和密码登录弹性云主机。 说明 用户名、密码分别是root和创建集群时设置的密码。 本地使用Linux操作系统 如果本地主机为Linux操作系统，您可以参考步骤1~步骤4为弹性云主机绑定弹性公网IP后，在计算机的命令行中运行如下命令登录弹性云主机：ssh弹性云主机绑定的弹性公网IP

为什么要放行云Web应用防火墙回源IP段？ 网站成功接入云WAF防护后，所有业务请求将先流转到防护平台进行检测，经过滤后返回到源站服务器。由于源站服务器收到的所有请求都来自云WAF平台的IP，源站服务器上的安全软件（如安全组、防火墙、安全狗、云锁）很可能认为云WAF回源IP在进行攻击而进行封禁，造成误封禁的云WAF回源IP的所有请求将无法得到源站的正常响应。因此，在网站接入云WAF后，需确保源站侧已将云WAF所有回源IP加入访问控制安全组与相关安全软件白名单进行放行，避免出现网站无法打开或响应缓慢等情况。 为什么要开通所有网站端口的Web应用防火墙防护？ 域名接入Web应用防火墙防护后，该域名所有公网业务请求都会通过CNAME解析牵引至云WAF，未在云WAF侧开通防护配置的端口请求则无法被接收，并且丢弃。因此，需要提供完整的域名及域名所开放端口列表。如未将同一域名下所有端口业务接入云WAF进行防护，将影响该域名下未接入防护的端口业务正常访问。 如何放行云Web应用防火墙回源IP段？ 打开源站服务器上的安全软件与访问控制安全组，根据防护开通的所属数据中心中心将云WAF平台回源IP地址段（内蒙数据中心：36.111.137.0/24 与 203.57.157.0/24，北京数据中心：203.34.106.0/24，上海数据中心：101.226.7.0/24， 广州数据中心：203.32.204.0/24）添加到白名单。

此小节介绍如何查看监控报表和拦截报告。 查看监控报表 用户可以查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要查看监控报表的公网IP所在行的“操作”列，单击“查看监控报表”。 5. 在“监控报表”界面，可以查看公网IP报表的详细指标。 可查看包括当前防护状态、当前防护配置参数、24小时流量情况、24小时异常事件等信息。 24小时防护流量数据图，以五分钟一个数据点描绘的流量图，主要包括以下方面： 流量图展示所选云服务器的流量情况，包括服务器的正常入流量以及攻击流量。 报文速率图展示所选云服务器的报文速率情况，包括正常入报文速率以及攻击报文速率。 近1天内攻击事件记录表：近1天内云服务器的DDoS事件记录，包括清洗事件和黑洞事件。 说明 支持将监控报表下载到本地，查看公网IP报表的详细指标信息。 在流量监控报表页面，单击图例，报表中将只显示“攻击流量”或“正常入流量”信息。 在报文速率监控报表页面，单击图例，报表中将只显示“攻击报文速率”或“正常入报文速率”信息。

本文将介绍如何在集群中管理保密字典。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 背景信息 在 Kubernetes 中，保密字典（Secret）是一种用于保存敏感数据的对象。它可以存储像用户名、密码、令牌、密钥、证书等敏感信息，这些信息需要被保护以避免被恶意用户利用。 保密字典可以以字符串或者文件的形式保存敏感信息，它们被编码为 base64 格式并存储在 Kubernetes 集群中。 保密字典可以被用于各种用例，例如：在容器中或 Pod 中挂载配置文件、合并 Docker 镜像的安全证书等。 保密字典的使用方式类似于配置项目，但保密字典显然更加安全，因为它可以加密保存，并且可以限制访问权限。您可以在 Pod 中使用 Volume 或者环境变量引用保密字典，或者将其用作镜像源、终端服务器等。 创建保密字典 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群”。 2. 在集群列表页面中，单击目标集群名称，并在左侧导航栏中选择“配置管理” 。 3. 选择“保密字典”，在保密字典页面中，您可以通过以下两种方式创建配置项。 1. 通过保密字典菜单创建。 1. 单击保密字典页面左上角的“创建” 。 2. 在创建保密字典页面中，填写保密字典名称。名称最长100个字符，由小写字母、数字、""及"."组成，且开始和结尾只能是数字和字母。 3. 填写保密字典内容。包括变量名和对应变量值，允许添加多个配置项。支持“上传文本文件”和“上传二进制文件” 。 2. 使用YAML创建。 1. 单击保密字典页面左上角的“新增YAML” 。 2. 在使用模版部署的页面填写保密字典内容，即Secret的相关信息；或者选择从文件导入然后单击保存。

ECX云硬盘是否支持快照？ 支持手动创建快照和自动创建快照，支持快照回滚，另外还支持云硬盘虚拟机整机快照。 ECX云硬盘是否支持挂载到多台云服务器？ 当云硬盘为非共享盘时，只能挂载到一台云服务器上；当云硬盘为共享盘时，支持最多挂载16台云服务器。 如果购买的公网带宽上限值为5Mbit/s，相应的出入网带宽上限是多少？ 出入带宽上限都是5M。如果带宽资源不足，可以向客户经理申请扩容。 NAT64服务推荐的业务场景 NAT64主要用于客户业务使用IPv4部署，又想对外提供IPv6访问能力应用场景，仅支持单向访问，即仅支持外部使用IPv6地址访问客户IPv4业务。 如何退订ECX实例？ 您可以在天翼云官网我的费用中心对购买的实例进行退订，也可以通过ECX控制台找到对应的资源进行退订。实例退订后将不再产生新的费用。 如问题还未解决，请通过天翼云官网我的工单管理新建工单 ，或联系您的客户经理解决。

激活/失活剧本版本 说明 只有版本状态为未激活的剧本版本才能激活。 每个剧本只允许存在一个激活版本。 激活当前版本后，之前激活的版本将会失活。例如，此次激活V2版本，则处于已激活状态的V1版本将被取消激活，更新为未激活状态。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标剧本版本所在行“操作”列的“激活”（或“取消激活”），完成激活（或失活）操作。 复制剧本版本 说明 仅支持复制“已激活”、“未激活”的剧本版本。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“复制”，弹出复制版本页面。 7. 在弹出复制版本信息框中，单击“确认”，完成复制剧本版本。

立即执行某个检查计划 本部分将介绍如何立即执行某个检查计划，配置后，系统将立即执行已选择的检查计划，开始检查遵从包中的检查项目。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。 系统将立即执行已选择的基线检查计划。 立即检查某个或某些检查项目 本部分介绍如何立即检查某个或某些检查项。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，默认进入检查结果页面。 5. 立即检查某个或某些检查项目。 某个检查项目 1. 在检查结果页面下方检查项目列表中，单击目标自动检查项所在行操作列的“立即检查”。 2. 在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。 某些检查项目 1. 在检查结果页面下方检查项目列表中，勾选多个待检查的自动检查项目，并单击列表左上方的“立即检查”。 2. 在弹出的确认框中，单击在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。

本节主要介绍如何导入、导出情报指标。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 最多支持导出9999条情报指标信息。 导入指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，单击指标列表左上角的“导入”。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入情报指标信息。 7. 待导入情报指标文件填写完成后，在导入情报指标对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，勾选您需要导出的指标，并单击列表右上角的，弹出导出对话框。 6. 在导出指标对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的指标列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载指标excel表格到本地。

本节主要介绍如何导入、导出事件。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 最多支持导出9999条事件信息。 导入事件 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面中，单击事件表格左上角的“导入”。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入事件信息。 7. 待导入事件文件填写完成后，在导入事件对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出事件 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面，勾选您需要导出的事件，并单击列表右上角的，弹出导出对话框。 6. 在导出事件对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的事件列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载事件excel表格到本地。

操作场景 某企业分别在天翼云VPC和阿里云VPC中部署了应用服务，现在该企业希望通过智能网关将企业总部和本地分支机构分别与天翼云和阿里云上的资源进行互通。 前提条件 在开始本教程前，确保您已经完成了以下操作： 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在天翼云创建了VPC实例，具体操作，请参见创建虚拟私有云VPC。 您已经完成了天翼云云间高速（标准版）的创建，加入天翼云VPC，需要关联云间高速（标准版）。具体操作，请参见云间高速（标准版）实例快速入门。 操作步骤 步骤一：购买智能网关（vCPE） 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、“.”、“”、“”。 区域 所属位置信息。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 网关形态 选择软件版。 设备类型 vCPE。 使用方式 可选择单机、双机备份。 购买数量 购买智能网关的个数。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。

如果不再需要某个工作空间，可以参照本节进行删除。 工作空间删除后，相关的资产会存在风险，且会影响资产的风险预防和处理，安全性能降低，删除后不可恢复，请谨慎操作。 约束与限制 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。 删除工作空间 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击待编辑工作空间右侧的，进入工作空间详情页面。 5. 在工作空间的“基本信息”页签中，单击“删除”。 6. 在弹出的删除工作空间页面中，确认无误后，勾选“永久删除工作空间”，并在“确认删除”中输入工作空间名称，并单击“删除”。 注意 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。

Entries added by HostAliases. 127.0.. foo.local bar.local 10.1.. foo.remote bar.remote DNS解析请求流程 若未配置存根域，没有匹配集群域名后缀的任何请求，将转发到节点的上游域名服务器。 若已配置存根域和上游DNS服务器，DNS查询将基于下面的流程进行路由： 查询coredns中的DNS缓存层； 在缓存层，检查请求后缀，根据下面情况转发到对应DNS： 带有集群后缀的域名，例如.cluster.local，请求被发送到Coredns； 带有存根域后缀的域名，例如.test.local，请求被转发到配置的自定义DNS解析器； 其它域名解析请求则被转发到上游DNS。 如下图所示：