参数 配置说明 目录和文件 支持选择要备份的目录和文件及不要备份的目录和文件。 注意：选择文件备份目录时，需选择非结构化数据（如视频、图片、附件、日志等）文件产生的数据路径。若选择"/"或包含系统文件的系统整盘、系统盘整个分区（如C盘），任务状态会变为停止。如需有系统盘整盘、整个分区的备份需求可选择整机备份方式实现。 镜像设置 校验方式：启用增量备份或差异备份时，当前备份数据与上次备份数据差异比对方式。 错误处理方式 如果源路径包含系统目录和文件，drnode程序可能无法访问某些特定的系统文件。对于这种情况，给出两种解决办法。此选项默认为“遇到错误，立即停止”。 文件打开方式 在镜像阶段，源端打开文件的方式，该选项只适用于Windows平台的工作机。在增量复制阶段，drnode程序不会读取文件内容。 文件安全属性 用户选择是否同步备份文件权限、用户属性等。此选项默认为同步。

创建托管前，需先创建托管视图，本节介绍如何创建托管视图。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在“托管视图”页签中，单击“创建托管视图”，右侧弹出创建托管视图页面。 5. 配置托管视图参数。 参数名称 参数说明 托管视图名称 设置托管视图名称。 绑定空间名称 选择需要绑定的工作空间。 描述 自定义托管视图描述信息。 6. 单击“确定”。 创建成功后，可以在“空间管理”或“空间托管”页面中查看已创建的托管视图。 相关操作 编辑托管视图 1. 在待编辑托管视图所在行“操作”列，单击“编辑”。 2. 在弹出的编辑托管视图中，修改托管视图参数后，单击“确定”。 删除托管视图 1. 在待删除视图所在行“操作”列，单击“删除”。 2. 在弹出确认框中，单击“确认”。

本章主要介绍API认证鉴权常见问题。 是否支持HTTPS的双向认证？ 专享版：支持，在创建API时，可配置双向认证。 “无认证”方式的API该怎么鉴权与调用？ “无认证”即API网关对收到的调用请求不做身份认证，您只需要按照API提供者提供的接口说明，封装规范的HTTP请求，发送给API网关即可。 说明 无认证方式下，API网关把请求内容透传给后端服务。因此，如果您希望在API后端服务进行鉴权，可以使用“无认证”方式，API调用方传递鉴权所需字段给后端服务，由后端服务进行鉴权。 TLS加密协议支持什么版本？ API网关支持TLS 1.1及TLS 1.2版本，暂不支持TLS 1.0或TLS 1.3。 安全认证签名的内容是否包括Body体 包括。除了几个必选的请求头部参数，Body体也是签名要素之一。例如有一个使用POST方法上传文件的API，那么在签名过程中，会取这个文件的hash值，参与生成签名信息。

本节介绍了专属云（存储独享型）的产品定义。 专属云（存储独享型）（CTDSS，Dedicated Distributed Storage Service）为您提供独享的物理存储资源，通过数据冗余和缓存加速等多项技术，提供高可用性和持久性，以及稳定的低时延性能；可灵活对接专属云（计算独享型）等多种不同类型的计算服务。 用户需要申请专属云（存储独享型）服务后才予以开通权限，请联系专属客户经理提交开通申请，或者拨打天翼云客服电话4008109889。 功能特点： 1、 规格丰富 高IO：高性能、高扩展、高可靠，适用于性能相对较高，读写速率要求高，有实时数据存储需求的应用场景。 超高IO：低时延、高性能，适用于低时延，高读写速率要求，数据密集型应用场景。 2、弹性扩展 按需扩容：可根据业务需求扩容存储池。 性能线性增长：支持在线扩容DSS下的磁盘，并且性能线性增长，满足业务需求。 3、安全可靠 三副本冗余：数据持久性高达99.9999999%。 数据加密：系统盘和数据盘均支持数据加密，保护数据安全。 4、备份恢复 云备份服务：可为专属分布式存储下的磁盘创建备份，利用备份数据回滚磁盘，最大限度保障您数据的安全性和正确性，确保业务安全。 专属云（存储独享型）与云硬盘的区别 服务名称 总体介绍 存储类别 典型应用场景 性能规格 专属云（存储独享型） 专属云（存储独享型）为用户提供独享的物理存储资源，存储池资源物理隔离，数据持久性高达99.9999999%，可同时对接多种不同类型的计算服务，如弹性云主机、物理机等，功能丰富、安全可靠。 存储池物理隔离，资源独享，专属存储。 对接专属云中的弹性云主机、物理机等计算服务 对接非专属云中的弹性云主机、物理机等计算服务 混合负载，专属存储可同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署 高性能计算 OLAP应用 高IO：起步规格13.6TB，扩容步长13.6TB，最大可扩容至435.2TB，最大IOPS为1500 IOPS/TB。 超高IO：起步规格7.225TB，扩容步长7.225TB，最大可扩容至289TB，最大IOPS为8000 IOPS/TB。 云硬盘 云硬盘可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 共享存储池资源 企业日常办公应用 开发测试 企业应用，例如SAP、Microsoft Exchange和Microsoft SharePoint等 分布式文件系统 各类数据库，例如：MongoDB、Oracle、SQL Server、MySQL和PostgreSQL等 云硬盘支持按需扩容，最小扩容步长为1GB，单个磁盘可由10GB扩展至32TB。 DSS与EVS的区别

本章节为您介绍如何快速启用协同签名服务。 本章节主要了解基础功能并完成必要的配置。通过简明的操作步骤和指导，您可以迅速配置好系统，并为移动端用户启用安全高效的协同签名服务。无论您是初次接触还是经验丰富的管理员，本章节都将为您提供清晰易懂的使用指引。 步骤一：配置第三方CA 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“系统管理 > 第三方CA配置”，进入“连接配置”页面。 3.单击左上角的“添加CA”按钮，在弹出的对话框中填写相关参数。 4.填写完成后，单击“确认”，返回“连接配置”页面。 5.在页面左上方选择“根证书配置”，进入“根证书配置”页面。 6.单击“添加根证书”，在跳转的窗口填写相关参数。 7.填写完成后，单击“确定”完成第三方CA配置。 步骤二：配置第三方认证 第三方认证还要确保签名行为是真实发生的，并且是按照预定的规则进行的。这包括验证签名的时间戳、签名的顺序（在一些有先后顺序要求的协同签名场景中）以及签名的完整性。 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“系统管理 > 系统设置”，进入“机构第三方认证配置”页面。 3.开启第三方认证并填写标准接口参数。

本章节为您介绍风险监测的相关内容。 您在数据源管理页面新增数据源后，将自动生成同名的风险检测任务。风险检测主要针对包含数据库的数据源中的漏洞风险、配置基线风险、弱口令风险以及敏感数据。 风险监测结果概况 可视化报表 可视化图表直观展示了数据源中存在的漏洞、配置基线、弱口令风险数，并分别指出风险数最多的前5项数据源。点击数据源名称，可以跳转至对应的风险检测详情界面。 风险数量统计基于所有已完成风险扫描任务的数据源，不包括扫描失败的任务。当未成功扫描到特定类型的风险时，对应图表区域显示“暂无数据”。 报表导出 1.登录数据分类分级实例。 2.在左侧导航栏选择“安全评估 > 风险监测”，进入“风险监测”页面。 3.单击页面右上角的“导出”即可导出报表。 风险监测任务管理 新增数据源后，本页面将自动生成同名的风险检测任务。 当数据源被删除时，对应的风险检测任务也将自动删除。 风险监测任务列表 任务列表的展示字段包括：任务名称、数据源名称、数据源主机、风险评分、风险数、状态、更新时间。 风险评分：指在对数据源进行扫描后，基于漏洞风险、基线风险、弱口令以及数据源的分类分级结果综合计算后得出的分数；数据源的分类分级结果会影响其风险评分，具体来说，分类分级后，数据源中的敏感表、敏感字段越多，其风险评分就越高； 风险数：漏洞、基线、弱口令等三类漏洞的数量； 状态：分为已完成、扫描中、失败、待扫描。 列表默认按照风险评分降序排序，您可以单击表头的“风险评分”和“更新时间”，使表格切换为按该列降序或升序排序。

参数 是否必填 参数类型 说明 示例 下级对象 autoPay 是 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 instanceNum 是 Integer 集群数量instanceNum，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

参数 是否必填 参数类型 说明 示例 下级对象 autoPay 是 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订,仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 instanceNum 是 Integer 集群数量instanceNum，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

弹性高性能计算的节点实例如何与ECS实例进行私网通信？ 首先要先判断您的弹性高性能计算集群节点实例和您的ECS实例是否处于同一VPC，具体私网互通配置如下： 如果处于同一个VPC内，可以直接进行私网通信。 如果处于不同的VPC内，需要打通网络后才能进行私网通信。您可以通过对等连接、VPN等方式实现不同VPC之间的私网互通。 为什么无法通过SSH登录集群？ 使用SSH无法登录集群的原因较多，请您根据实际情况，通过以下排查方法，进行问题排查。 1. 检查用户名和密码是否正确。 2. 检查客户端本地网络或运营商网络是否异常。 3. 检测节点所在的安全组规则，是否放行对相应IP地址和端口的访问。 4. 检查登录节点是否开启防火墙或配置了防火墙规则。 集群是否支持挂载文件服务？ 您可在创建集群时，可选择自动分配创建新的或使用已有的文件服务，具体操作步骤请参考“创建集群”。

本文主要介绍启动测试任务 前提条件 已添加用例。 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32003端口在安全组被开启。 确保资源组的执行节点和被压测的应用之间网络互通。 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑性能测试测试工程所在行，单击工程名称进入测试工程详情页面。 3、选择“测试任务”页签，单击待启动任务操作栏的。 4、在“执行测试任务”对话框中，选择“资源组类型”。 共享资源组：无需创建即可使用，最大支持10000并发和100Mb带宽，支持外网地址压测。 私有资源组：本机创建的私有资源组。 5、单击“执行”，执行测试任务。 6、（可选）测试任务执行后，单击“查看报告”或单击测试任务操作栏的，可以查看实时测试报告。

为什么扫描任务自动登录失败了？ 漏洞扫描服务在扫描过程中，会在用户提交的登录页面上查找登录输入框，以及登录按钮，登录成功后，还会在页面上识别退出登录的触发链接，避免登出。查找这些元素的成功率受影响于用户站点页面元素的复杂程度。 如果扫描任务自动登录失败，可能是因为您的网站需要登录才能访问，请检查您是否通过漏洞扫描服务对您的网站进行了正确的网站登录信息配置，请参照以下操作步骤设置网站登录方式或者修改网站登录配置信息。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描服务”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 在目标域名的“操作”列，单击“编辑”，进入域名编辑页面，根据需要修改“网站登录设置”，如下图所示。 5. 单击“确认”。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本节介绍如何退订态势感知（专业版）。 若用户不再使用态势感知（专业版）防护功能或增值包，可执行退订或一键取消操作。 包周期（包年/包月）计费模式：预付费方式。新购5天内的资源，支持每年10次5天无理由“退订”；使用超过5天的资源，“退订”需要收取手续费。 按需计费模式：按小时计费方式。资源即开即停，支持一键“取消”释放资源。 退订包周期计费 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在“总览”页面中，单击右上角“专业版”，显示版本管理窗口。 4. 针对包周期购买的资产配额、或增值包，单击“退订”，进入“退订管理”列表页面。 5. 在需要退订的实例所在行，单击“操作”列中的“退订资源”，进入“退订资源”页面。 6. 确认待退订资源信息，选择退订原因，并勾选退订确认。 7. 单击“退订”，在退订管理页面确认退订。 退订成功后，返回版本管理窗口，包年/包月计费的资产配额已取消。

本页介绍了SSL证书产品的使用指南。 网站、微信公众号、app应用、小程序，所有使用http协议的地方都可以使用SSL证书。 特别注意的是，Apple ATS要求所有APP应用的网络请求必须在一个安全（HTTPS）的链上传输，不符合ATS要求的应用即将无法在App Store顺利上架。小程序要求使用https协议的，不然无法正常上架。最新的HTTP/2协议中，主流浏览器也仅实现了通过TLS加密的HTTP/2协议。 万维信双算法证书服务（RSA/SM2自适应兼容）： 向用户提供SM2算法SSL证书（符合国密要求）和RSA算法SSL证书（支持全球浏览器和移动终端），兼顾国密合规和全球通用； 证书完全基于国内CA PKI体系，无论是国际算法的RSA2048，还是国产算法的SM2，根证书都在国内，国产证书完全自主可控。 选择对应的 web 服务类型进行证书安装，如安装过程需要帮助，可联系技术支持17621790866

区别项 云硬盘快照 云硬盘备份 存储位置 快照与云硬盘原始数据保存在同一套云存储集群中。 备份与云硬盘原始数据没有存储在同一套云存储集群中，以备份文件的形式存储在对象存储中，即使云硬盘损坏，也可以进行数据恢复。 数据同步 保存云硬盘指定时刻的数据。 可以设置自动快照策略。 如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除或需用户手动删除。 重装操作系统或切换操作系统后，系统盘快照和数据盘快照不会被删除，其中数据盘快照可以照常使用。 系统盘保留单盘快照会导致主机重装/切换系统失败，建议主机重装/切换系统操作前先手动删除快照。 保存云硬盘指定时刻的数据，可以设置自动备份。 如果将创建备份的云硬盘删除，对应的备份不会被同时删除，还会独立存储于对象存储。 业务恢复 通过快照回滚来恢复云硬盘数据，或者以快照作为数据源来创建新的云硬盘，恢复业务。 用户可以恢复备份数据到云硬盘，或者以备份作为数据源来创建新的云硬盘，恢复业务。 使用场景 针对软硬件升级、系统变更等计划内操作场景，在执行升级/变更前可即时为数据创建快照，作为操作前的安全保护点，如升级异常、测试失败或变更出错，可通过快照快速回滚数据至变更前的精确状态，确保操作的安全性和可靠性。 针对误删、病毒感染、软硬件故障等突发风险场景，通过周期性定时备份为数据创建多个历史时间点的副本，出现故障时可将数据恢复到任意备份时间点的状态。

本文介绍HBlock、CSI插件和Cinder驱动插件的生命周期策略。 通过HBlock、CSI插件和Cinder驱动插件的产品生命周期支持策略，您可以了解各生命周期阶段的服务变化，以便合理规划产品使用与续保服务，有序实施版本更新或升级，最大限度保证数据安全及业务连续性。 定义 阶段 服务支持 全面支持阶段（General Availability，GA） 产品发布，进入全面支持阶段，针对该阶段发现的软件缺陷和安全漏洞提供修复版本，维护产品更新和升级。 终止支持阶段（End of Support Life，EOSL） 停止该版本产品所有支持，请尽快升级到提供支持的产品版本。 HBlock各版本生命周期 版本 全面支持阶段 终止支持阶段 4.0 2026年03月24日 2028年09月24日 3.10 2025年09月25日 2028年03月25日 3.9 2025年04月21日 2027年10月21日 3.8 2025年02月14日 2027年08月14日 3.7 2024年08月08日 2027年02月08日 3.6 2024年06月03日 2026年12月03日 3.5 2024年03月04日 2026年09月04日 3.4 2023年07月12日 2026年01月12日 3.3 2022年12月23日 2025年06月23日 3.2 2022年09月26日 2025年03月26日 3.1 2022年06月14日 2024年12月14日 3.0 2022年01月18日 2024年07月18日 2.1 2021年08月27日 2024年02月27日 2.0 2021年05月28日 2023年11月28日

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端VPC内部的的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。 终端节点服务允许用户快速将其服务发布到内部网络，通过白名单授权管理，确保在确保安全的前提下，能够灵活地管理可访问的用户。这种方式可以使用户能够方便地通过内部网络共享服务。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以使用终端节点连接在VPC中自己创建终端节点服务后端应用程序，也可以通过终端节点连接天翼云提供原生服务，天翼云终端节点支持“接口”和“反向”两种类型终端节点 。 “接口”类型终端节点：是具备私有IP地址的弹性网络接口，“接口”类型终端节点可作为VPC用户访问云服务入口，为VPC提供主动访问云服务能力，"接口"类型终端节点可连接自建服务，也可以连接天翼云云提供的原生服务。 "反向"类型终端节点：同样是具备私有IP地址的弹性网络接口，"反向"类型终端节点为服务主动访问用户VPC资源的出口，服务可通过此类型终端节点主动访问VPC内的资源。

本章节进行API网关整体介绍 概述 API网关是API 托管服务，提供 API 的完整生命周期管理，包括创建、维护、发布、运行、下线、运维监测、安全管控等阶段。通过API网关服务，可以将您的数据、业务逻辑或功能安全可靠的开放出来，以快速建设以API为核心的系统架构，为业务系统、合作伙伴提供连接。 消费者 消费者通常是网关的调用方，比如可以是客户端程序等，所以通常也可以称为应用；当消费者请求路由到网关时，网关会对消费者进行识别。网关要判断这个调用者有没有访问当前路由的权限，如果没有，网关就会拒绝当前请求，否则就会通过路由请求并对请求进行进一步的处理。识别过程我们叫做鉴权，那么鉴权之前，为确保具有路由请求的权限，以允许对应消费者访问路由，会给目标路由进行授权，也即是消费者授权或者叫做应用授权。 摘要签名认证 当前网关支持的认证鉴权方式为摘要签名认证方式。API网关提供前端签名及验签能力，前端签名及验签主要两点用途： 1. 验证客户端请求的合法性，确认请求中携带授权后的AK生成的签名。 2. 防止请求数据在网络传输过程中被篡改。 API的拥有者可以在网关控制台的应用管理页面生成APP，每个APP会携带一对签名密钥（APP Key和APP Secret），API拥有者将API授权给指定的APP（APP可以是API拥有者颁发或者API调用者所有）后，API调用者就可以用APP的签名密钥来调用相关的API了。

第4章 服务范围 远程运维服务产品范围：天翼专有云、天翼公有云、天翼混合云的云产品，详见《服务协议》。 天翼云远程运维服务范围包含： 天翼云产品使用咨询、日常巡检、问题处理、故障处理、操作指导、最佳实践等。 天翼云产品相关操作的技术支持。 天翼云管理控制台相关的问题支持。 天翼云远程运维服务范围不包含： 应用的开发和运维，包括但不限于应用开发、部署、测试、问题诊断等。 IDC和硬件设备维护，包括网络设备、服务器、存储等硬件巡检、更换、诊断等（天翼云提供的除外）。 第三方软件问题，包括但不限于OFFICE、WPS办公软件等。 第5章 前提条件 客户需提前至少20个工作日申请远程运维服务，天翼云解决方案架构师评估需求可行性，确定是否提供远程运维服务。 运维专家现场服务2天起售，需提前15个工作日申请，现场服务只在远程运维服务的服务期内提供，运维专家现场服务工作时间为工作日9:00~18:00。 若已购买运维专家现场服务，客户须提供安全的办公环境，并保障天翼云驻场人员的人身安全。 运维专家现场服务，客户需签署运维进场和离场报告或签到表。 客户需在天翼云承接远程运维服务后，提供必要的访问通道、权限、授权、协助配合天翼云开展远程运维服务。 客户需审核天翼云制定的远程运维服务计划和服务方案，以书面形式（包括但不限于电子邮件）确认。如无正当技术理由，不能否定双方已确认的服务计划和服务方案。 客户需授权天翼云对云上资源和应用进行监控和分析。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

本文介绍了使用天翼云防火墙（原生版）的使用流程和步骤说明。 一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界、内网VPC边界管控与安全防护，并提供实时入侵防护、全流量业务可视化、日志审计和分析等功能，帮助用户完成网络边界防护与等保合规业务。 使用流程 使用流程如下图： 互联网边界防护 操作步骤 说明 相关文档 购买云防火墙（原生版） 成功注册天翼云账号后，打开控制中心，切换资源池至目标资源池，选择云防火墙（原生版）产品，点击购买配额。 购买C100实例 开启防护 打开云防火墙（原生版）控制台，选择防火墙开关，开启防护。 开启弹性IP防护 开启公网NAT网关防护 开启弹性负载均衡防护 配置防护策略 购买成功后，打开云防火墙（原生版）控制台，配置访问控制策略和防护策略。 支持配置以下防护策略： 入向/出向防护规则：按照IP地址、端口、协议、应用等维度设置防护规则进行流量管控。 黑/白名单规则：按照IP地址进行流量管控，来自黑名单内的流量会直接拦截，来自白名单内的流量会直接放行。 入侵防御：根据入侵防御规则库拦截网络攻击，支持基础防御、虚拟补丁、DDoS防护。 配置互联网边界防护规则 配置入侵防御防护规则 查看防护结果 策略配置成功后，查看防护结果日志，防火墙成功开启。 日志审计

本文为您介绍Web应用防火墙相关名词的主要含义。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 跨站请求伪造 跨站请求伪造攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据，诱导受害者访问，如果受害者浏览器保持目标站点的认证会话，则受害者在访问攻击者构造的页面或URL的同时，携带自己的认证身份向目标站点发起了攻击者伪造的请求。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片、数据库等类型的文件被黑客、病毒等非法篡改和破坏。 跨站脚本攻击 一种网站应用程序的安全漏洞攻击，攻击者将恶意代码注入到网页上，用户在浏览网页时恶意代码会被执行，从而达到恶意盗取用户信息的目的。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

DRDS实例创建成功后，默认未绑定弹性IP，不能使用公网访问功能。您可以为DRDS实例绑定弹性IP，来通过公网访问数据库实例。本文为您介绍DRDS绑定公网IP的具体操作。 为节点绑定/解绑弹性IP 您可以为DRDS实例的单个节点绑定弹性IP，绑定后，即可通过该节点的弹性IP访问数据库实例。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 前提条件 已创建弹性IP。具体操作，请参见申请弹性IP。 注意事项 绑定弹性公网IP后，请在安全组中设置严格的出入规则，以加强系统安全性。 在绑定弹性IP后，请将客户端公网出口IP加入至白名单中，否则将无法通过弹性IP访问数据库。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理， 进入实例基本信息页面。 4. 在连接信息 区域，找到目标节点，单击绑定弹性IP。 5. 在对话框中，选择弹性公网IP，单击绑定。 6. 使用弹性IP地址，连接DRDS节点。 7. 如果您不再需要使用弹性IP，单击解绑弹性IP，即可进行解绑。 为分组绑定ELB实例 您可以创建自定义分组并关联ELB实例，关联后，即可通过分组ELB实例的弹性IP来访问数据库实例。

介绍挂载点管理相关操作。 功能说明 产品控制台提供挂载点管理功能，用户可以便捷地管理文件空间的挂载点信息。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 使用说明 目前天津资源池2区、天津资源池3区支持挂载点管理操作。其他资源池挂载点信息可以参考文件空间管理。 NFS协议 添加挂载点 1. 登录控制台，选择文件系统菜单，进入【文件系统列表】，选择对应文件系统协议类型为【 NFS 】，在文件系统列表操作栏点击【 管理 】进入页面。 2. 进入文件空间管理页面后，点击【 添加挂载点 】。 3. 填写挂载点信息和权限管理，目前一个文件空间仅支持添加一个挂载点。填写完成后点击【确定】，完成添加操作。 用户映射说明 nosquash：使用root用户访问文件系统映射为root用户。 rootsquash：以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash：无论以何种用户身份访问，均映射为nfsnobody用户。 nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点，选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。 管理挂载点 1. 在管理页面可查看挂载点名称、挂载点信息、状态、创建时间等信息，包括对挂载点【管理权限组】、【禁用】操作。 2. 点击【禁用】，确认对该挂载点禁用后，用户将无法使用该NFS文件资源。 SMB协议

本章主要介绍开启跨域访问。 什么是跨域访问 浏览器出于安全性考虑，会限制从页面脚本内发起的跨域访问（CORS）请求，此时页面只能访问同源的资源，而CORS允许浏览器向跨域服务器，发送XMLHttpRequest请求，从而实现跨域访问。 图 跨域访问 浏览器将CORS请求分为两类： 简单请求 简单跨域请求的场景需要满足以下两个条件： a. 请求方法是HEAD，GET，或者POST。 b. HTTP的头信息不超出以下范围： Accept AcceptLanguage ContentLanguage LastEventID ContentType：取值范围：application/xwwwformurlencoded、multipart/formdata、text/plain 对于简单请求，浏览器自动在头信息之中，添加一个Origin字段，Origin字段用于说明本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。服务器响应消息中包含“AccessControlAllowOrigin”时，表示同意请求。 非简单请求 不满足简单请求两个条件的都为非简单请求。 对于非简单请求，在正式通信之前，浏览器会增加一次HTTP查询请求，称为预检请求。浏览器询问服务器，当前页面所在的源是否在服务器的许可名单之中，以及可以使用哪些HTTP请求方法和头信息字段。预检通过后，浏览器向服务器发送简单请求。 开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。如需自定义跨域的请求头、跨域的请求方法和指定授权访问的域，请使用跨域资源共享策略说明。 简单跨域访问 如果是创建新的API，在“安全配置”时，勾选“开启支持跨域（CORS）”开关。详细的使用指导，可参考[简单请求](

使用前准备 1.天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提 （1）如需使用服务请先完成实名认证，请参考账号中心实名认证。 （2）如需使用按需服务，请确认账号余额≥100 元。 部署OpenClaw应用 步骤一：获取大模型API Key OpenClaw需要调用大模型能力，这里使用天翼云息壤模型推理服务。 1.访问天翼云息壤模型推理服务。 2.点击左侧菜单【服务接入】进入服务接入页面，点击【创建服务组】按钮，在创建服务组页面中选择“DeepSeekV3.2（正式版）”，提交表单。（新用户免费额度为2500万tokens，体验时间为2周） 3. 回到【服务接入】页面，复制您的 APP Key 以供使用。 步骤二：订购并部署 OpenClaw 应用 1. 登录应用托管控制台，选择左侧菜单【应用市场】，点击进入对应页面。 2. 在应用市场页面，选择目标应用，点击【开启应用】，进入应用部署页面。 3. 填写获取的天翼云息壤模型推理服务APP KEY（填入息壤APIKEY），设置OpenClaw的网关密码（用于连接OpenClaw网关），选择访问策略，勾选同意用户协议，点击【部署应用】，即可完成OpenClaw应用服务部署。 访问策略：访问策略为服务的公网访问提供安全防护。应用需选择配置白名单访问策略（不支持黑名单访问策略），且白名单内IP数不超过10个，如没有可用的策略请新建。 白名单配置：点击【访问策略】注释行【去新建】，或直接在【应用访问策略】选择策略信息进行操作，编辑白名单配置，将您的IP地址添加到IP地址/网段，并点击确认即可（见下图）。 获取出口 IP 操作指引：可在官网文档【用户指南应用访问策略访问策略管理】中查看。 重要：建议开启白名单策略防护，避免公网全面暴露带来安全风险。 4.提交表单后进入应用实例列表页面，点击操作栏【访问】按钮，点击下拉访问链接，进入OpenClaw使用界面。

配置升级 当master、core或task节点实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升实例规格。 节点扩容 当master、core或task节点组内的资源无法满足您的业务需求时，您可以使用节点扩容功能增加实例数量。 节点缩容 当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。 新增节点组 当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加实例组。 磁盘扩容 当master、core或task节点的数据存储空间无法满足您的业务需求时，您可以使用磁盘扩容功能增加数据盘的空间。 集群运维管理 翼MR Manager提供资源概览、集群服务、主机、租户与资源、监控与告警、运维与配置等运维管理功能。 1. 资源概览：展示该集群下所有主机的CPU、内存、网络等信息，包括CPU使用率、磁盘使用率、内存使用率、网络发送速率等。 2. 集群服务：展示当前集群下的所有集群服务，并按组件类型、以列表视图列出，在集群服务列表处支持一键启动所有集群服务、一键停止所有集群服务。 3. 主机：默认展示当前集群下的所有主机列表，可查看当前运维平台的所有主机信息。也可以查看主机上的角色实例分配和告警历史信息。 4. 租户与资源：以集群服务为维度对LDAP用户、Kerberos安全凭证和YARN队列进行管理。LDAP用户管理展示当前集群下的LDAP用户和用户组等信息；Kerberos安全凭证支持新建Principal、删除Principal，支持Keytab分发与下载，并支持查看Keytab的分发记录；YARN队列管理支持YARN队列新建、编辑与删除，capacityscheduler.xml的全局属性配置，支持YARN队列的同步生效并支持查看同步生效记录。 5. 监控与告警：支持指标查询和告警历史功能。指标查询支持查询角色实例级、主机级的监控指标，支持指标结果的绘图操作，让用户更直观获取监控项变化；告警历史支持按照集群服务级、角色实例级、主机级查询告警内容。 6. 运维与配置：支持流水线历史、配置管理、配置历史、配置同步历史。流水线历史展示所有流水线的运行历史记录，以及操作人；配置管理支持查看不同集群服务的配置文件，并进行新增、修改、删除配置等操作；配置历史支持查看配置文件不同版本的配置内容、并支持不同版本之前的内容对比；配置同步历史支持查看不同环境的配置同步历史、配置同步操作人，以及配置同步详情。

本文主要介绍集群升级前须知 升级前，您可以在CCE控制台确认您的集群是否可以进行升级操作。确认方法请参见集群升级概述。 注意事项 升级集群前，您需要知晓以下事项： 请务必慎重并选择合适的时间段进行升级，以减少升级对您的业务带来的影响。 集群升级前，请参考Kubernetes版本发布说明了解每个集群版本发布的特性以及差异，否则可能因为应用不兼容新集群版本而导致升级后异常。例如，您需要检查集群中是否使用了目标版本废弃的API，否则可能导致升级后调用接口失败。 在配置中心修改集群配置后的10分钟内请勿进行集群升级操作，否则可能由于操作冲突导致集群升级失败。 集群升级时，以下几点注意事项可能会对您的业务存在影响，请您关注： 集群升级过程中，不建议对集群进行任何操作。尤其是关机、重启或删除节点等操作，都会导致升级失败。 集群升级前，请确认集群中未执行高危操作，否则可能导致集群升级失败或升级后配置丢失。例如，常见的高危操作有本地修改集群节点的配置、通过ELB控制台修改CCE管理的监听器配置等。建议您通过CCE控制台修改相关配置，以便在升级时自动继承。 集群升级过程中，已运行工作负载业务不会中断，但API Server访问会短暂中断，如果业务需要访问API Server可能会受到影响。 集群升级过程中默认不限制应用调度。但下列旧版本集群升级过程中，仍然会给节点打上“node.kubernetes.io/upgrade”（效果为“NoSchedule”）的污点，并在集群升级完成后移除该污点。 所有v1.15集群 所有v1.17集群 补丁版本小于等于v1.19.16r4的1.19集群 补丁版本小于等于v1.21.7r0的1.21集群 补丁版本小于等于v1.23.5r0的1.23集群 集群升级过程中，如果同时升级插件，在集群资源使用率较高的情况下可能会导致插件Pod抢占业务Pod资源，业务Pod被驱逐重建，插件升级完成后将自动恢复。 在将集群升级至v1.28及以上版本时，系统会创建同等数量的新控制节点逐步替换旧节点，升级完成后控制节点的IP地址将发生变更。若您原先直接通过控制节点IP访问集群，请改用集群统一的公网或内网地址进行访问，详见集群连接信息。 集群升级过程中，系统将自动编辑/etc/rc.local文件。此操作可能会触发某些安全程序的相应告警，请您知悉并忽略由此产生的安全告警。

fromcollapselimit (integer) 如果生成的FROM列表不超过这么多项，规划器将把子查询融合到上层查询。较小的值可以减少规划时间，但是可能 会生成较差的查询计划。默认值是 8。将这个值设置为geqothreshold或更大，可能触发使用 GEQO 规划器，从而产生非最优计划。 joincollapselimit (integer) 如果得出的列表中不超过这么多项，那么规划器将把显式JOIN（除了FULL JOIN）结构重写到 FROM项列表中。较小的值可减少规划时间，但是可能会生成差些的查询计划。默认情况下，这个变量被设置成和fromcollapselimit相同，这样适合大多数使用。把它设置为 1 可避免任何显式JOIN的重排序。因此查询中指定的显式连接顺序就是关系被连接的实际顺序。因为查询规划器并不是总能 选取最优的连接顺序，高级用户可以选择暂时把这个变量设置为 1，然后显式地指定他们想要的连接顺序。将这个值设置为geqothreshold或更大，可能触发使用 GEQO 规划器，从而产生非最优计划。 forceparallelmode (enum) 允许为测试目的使用并行查询，即便是并不期望在性能上得到效益。forceparallelmode的允许值是off （只在期望改进性能时才使用并行模式）、on （只要查询被认为是安全的，就强制使用并行查询）以及 regress（和on相似， 但是有如下文所解释的额外行为改变）。更具体地说，把这个值设置为on 会在任何一个对于并行查询安全的查询计划顶端增加一个 Gather节点，这样查询会在一个并行工作者中运行。即便当一个并行工作者不可用或者不能被使用时，诸如开始一个子事务等在并行查询环境中会被禁止的操作将会被禁止，除非规划器相信这样做会导致查询失败。 当这个选项被设置时如果出现失败或者意料之外的结果， 查询使用的某些函数可能需要被标记为PARALLEL UNSAFE （或者可能是PARALLEL RESTRICTED）。把这个值设置为regress具有设置成on 所有相同的效果，外加一些有助于自动回归测试的额外的效果。一般来说，来自于一个并行工作者的消息会包括一个上下文行指出这一点，但是设置为regress会消除这一行，这样输出就和非并行执行完全一样。同样，被这个设置加到计划上的 Gather节点在EXPLAIN输出终会被隐藏起来，这样产生的输出匹配设置为off时产生的输出。

本章节主要介绍如何扩容集群。 MRS的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 MRS集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。 操作步骤 1.登录MRS管理控制台。 2.选择 “集群列表 > 现有集群” ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。 只有运行中的集群才能进行扩容操作。 4.设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考添加Task节点配置Task节点。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

本实践介绍了通过生命周期策略实现数据自动管理的操作场景、前提条件与操作步骤。 操作场景 对于以下场景中的对象数据，通过生命周期管理可自动将某些无需访问的文件删除，也可将一些不再频繁访问的文件转换为低频访问存储或归档存储，进而降低费用，优化存储资源利用。 数据的定期删除：存储桶开启多版本控制后，数据被覆盖和删除操作后会以历史版本的形式保存下来，桶中累积了大量的历史版本数据，需要定期自动删除过期或无用的数据。 数据转换：需要根据数据的访问频次及重要性，自动将数据自动从高频访问存储转换到低频访问存储或归档存储的场景，以降低成本。 合规性要求：需要根据法规或合规要求进行数据保留期限管理和删除操作的场景，以释放存储资源并保护数据安全。 方案优势 节省存储成本：生命周期策略可以根据数据的使用模式和重要性，自动将不再需要的数据转移到更经济的存储类型或实施数据删除。对于长期存储的低频访问数据，可以将其迁移至成本更低的归档存储类型，从而显著降低存储成本。 简化数据管理：通过生命周期策略，您无需手动干预来管理数据的存储过程。一旦设置了适当的策略，系统将自动执行转换和删除等操作。这节省了管理员的时间和精力，并且减少了人为错误的风险。 保证数据合规性：生命周期策略可以确保数据按照法律、合规和行业要求进行管理。您可以设置策略来满足特定的数据保留周期要求，并自动执行数据删除以遵守隐私和安全规定。

本文简述URL黑/白名单的功能、注意事项和配置方法。 功能介绍 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL黑名单：将特定的URL地址添加到黑名单中，CDN将拦截并阻止所有对该URL的访问请求。这主要用于禁止用户访问不安全或不被允许的网站资源。 URL白名单：与黑名单相反，白名单允许用户访问列表中的特定URL地址。只有被明确添加到白名单中的URL才能被访问，其他URL禁止访问。 注意事项 1. URL黑名单与URL白名单只能二选一，不可同时配置，为互斥关系。 2. URL黑名单请求仍可访问到CDN加速节点，但是会被CDN加速节点拒绝并返回403状态码。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【URL黑白名单】模块，开启功能。 6. 设置类型，选择【白名单】或【黑名单】，使用换行符分隔，支持正则表达式。 7. 单击【保存】，完成配置。 参数名 说明 URL黑白名单 默认关闭，开启后可配置URL黑白名单。 类型 可选择配置白名单或者黑名单，二选一。配置需使用正则表达式，只匹配uri及?后参数。 黑名单：黑名单内的URL资源无法访问。 白名单：只有白名单内的URL资源可以访问。