本章节主要介绍集群缩容。 当用户需要的计算或者存储资源超出业务需求时，可在管理控制台对已有集群进行缩容操作，以便充分利用DWS提供的计算资源和存储资源。 缩容对系统的影响 缩容前，需关闭创建了临时表的客户端连接，因为在缩容过程中及缩容成功之前创建的临时表将会失效，操作临时表也会失败。但是缩容后创建的临时表不受影响。 在执行缩容操作后，集群会进行一次自动快照，快照创建成功后进行集群缩容，若用户不想自动创建快照，可以在缩容界面选择取消自动备份功能。 缩容前，需确保倾斜率不超过10%，脏页率没有硬性指标，但对于50G以上的大表，建议倾斜率不要超过20%~30%。 正在缩容的集群禁用重启集群、扩容集群、创建快照、节点管理、智能运维、资源管理、参数修改、安全设置、日志服务、重置数据库管理员密码和删除集群的功能。 离线缩容过程中，应该停止所有业务或运行少量查询语句。表重分布期间会对表加共享锁，所有插入、更新、删除操作和表DDL操作都会长时间阻塞，会出现等锁超时情况。一旦表重分布完成后方可正常访问。在重分布执行过程中，应当避免执行超过20分钟的查询（在重分布执行时申请写锁的默认时间为20分钟）。否则可能导致重分布出现等待加锁超时失败的问题。 在线缩容过程中，表重分布期间用户可以对该表执行插入、更新、删除等操作，但重分布过程仍然会短时间阻塞用户的数据更新操作，会影响用户语句的执行性能。缩容重分布过程会消耗大量的CPU和IO资源，因此会对用户作业性能影响较大，应该尽可能在停止业务或业务轻载的情况下执行缩容重分布。 在线缩容删除节点的瞬间，如果有DDL语句正在执行，例如创建schema或function并发执行，这些DDL可能因为DN不存在而报错，用户重试即可成功。 如果集群缩容失败，数据库不会在后台自动执行缩容回滚操作，此时数据库所有运维操作不可用，需要用户在管理控制台页面上单击缩容按钮来重新执行数据库缩容操作。

功能 说明 缓存过期时间指源站资源在全站加速节点缓存的最大时长，超过该时长，资源将会被全站加速节点标记为已过期。如果客户端请求的资源在全站加速节点上已过期，全站加速节点会回源获取最新资源缓存到全站加速节点上，供其他请求使用。全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 当全站加速节点从源站获取资源时，源站会返回响应状态码，您可在客户控制台上配置状态码过期时间，全站加速节点会将源站返回的状态码缓存在本地，在状态码过期前，客户端若再次向全站加速节点发起相同资源的请求，全站加速节点将直接响应缓存的状态码，不会回源请求，可有效减轻源站服务器的压力。当状态码在全站加速节点上的缓存时间过期后，客户端再次请求该资源将回源请求。 当客户希望在源站响应特殊状态码并携带相关缓存头的情况下，特殊状态码缓存规则按照源站相关缓存头生效，无相关缓存头时才按CDN设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存key是一个文件缓存在全站加速节点上时的唯一标识，缓存文件和缓存key是一对一的关系。通常默认情况下，缓存key为客户端请求的原始URL（带参数）。通过缓存key设置，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。

操作类别 操作 操作影响 RDS for MySQL控制台操作类 删除RDS for MySQL实例 RDS for MySQL实例删除后，DRDS关联该RDS for MySQL实例的逻辑库、逻辑表都无法使用。 RDS for MySQL控制台操作类 切换RDS for MySQL主备实例 切换主备实例可能造成短时间内的RDS for MySQL服务闪断，并有可能在主备同步时延过大的情况下，导致少量数据丢失。 RDS for MySQL实例主备切换过程中，DRDS将无法进行创建逻辑库、创建表等操作。 RDS for MySQL实例主备切换后，DRDS中RDS for MySQL实例ID不变。 RDS for MySQL控制台操作类 重启实例 重启过程中，RDS for MySQL实例将不可用，DRDS业务将会受影响。 RDS for MySQL控制台操作类 重置密码 RDS for MySQL重置密码后，DRDS这边创建逻辑库时输入重置后的密码即可。 RDS for MySQL控制台操作类 修改参数模板 其中如下参数为固定值，如果修改，将会影响DRDS正常运行。 数据表名和序列名称不区分大小写，“lowercasetablenames”固定为“1”。 扩容场景，必须将“localinfile”配置为“ON”。 RDS for MySQL控制台操作类 修改安全组 将导致DRDS服务无法连接RDS for MySQL实例。 RDS for MySQL控制台操作类 修改VPC DRDS实例与RDS for MySQL实例不在同一VPC中将导致无法互通。 RDS for MySQL控制台操作类 恢复 恢复数据可能会破坏数据完整性。 RDS for MySQL客户端类 删除DRDS创建的物理库 删除物理库后，原数据将会丢失，新数据将无法写入。 RDS for MySQL客户端类 删除DRDS创建的物理帐号 删除物理帐号后将无法在DRDS上创建逻辑表。 RDS for MySQL客户端类 删除DRDS创建的物理表 删除物理表后，将导致DRDS数据丢失，DRDS后续无法正常使用该逻辑表。 RDS for MySQL客户端类 修改DRDS创建的物理表名 将导致DRDS无法获取该逻辑表的数据，且后续无法正常使用。 RDS for MySQL客户端类 修改记录 如修改全局表记录，将会影响各分片数据一致性。 RDS for MySQL客户端类 修改白名单 需要确保DRDS服务在RDS for MySQL实例的白名单内，否则DRDS服务将无法访问RDS for MySQL实例。

本章节主要介绍Redis单机实例 DCS Redis单机实例有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 单机实例特点 1. 系统资源消耗低，支持高QPS 单机实例不涉及数据同步、数据持久化所需消耗的系统开销，因此能够支撑更高的并发。Redis单机实例QPS达到10万以上。 2. 进程监控，故障后自动恢复 DCS部署了业务高可用探测，单机实例故障后，30秒内会重启一个新的进程，恢复业务。 3. 即开即用，数据不做持久化 单机实例开启后不涉及数据加载，即开即用。如果服务QPS较高，可以考虑进行数据预热，避免给后端数据库产生较大的并发冲击。 4. 低成本，适用于开发测试 单机实例各种规格的成本相对主备减少40%以上。适用于开发、测试环境搭建。 总体说来，单机实例支持读写高并发，但不做持久化，实例重启时不保存原有数据。单机实例主要服务于数据不需要由缓存实例做持久化的业务场景，如数据库前端缓存，用以提升数据读取效率，减轻后端并发压力。当缓存中查询不到数据，可穿透至磁盘数据库中获取，同时，重启服务/缓存实例时，可从磁盘数据库中获取数据进行预热，降低后端服务在启动初期的压力。 实例架构设计 DCS的Redis单机实例架构，如下图所示。 说明 Redis3.0不支持定义端口，端口固定为6379，Redis4.0和Redis5.0支持定义端口，如果不自定义端口，则使用默认端口6379。以下图中以默认端口6379为例，如果已自定义端口，请根据实际情况替换。 Redis单机实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即实例的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考2.2 连接实例。 DCS缓存实例 DCS单机实例只有1个节点，1个Redis进程。 DCS实时探测实例可用性，当Redis进程故障后，DCS为实例重新拉起一个新的Redis进程，恢复业务。

本节为您介绍数据安全中心如何保护您的个人数据。 数据安全中心DSC通过控制个人数据访问权限，以及记录操作日志等方法防止个人数据泄露，可以使您的个人数据（如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，保证您的个人数据安全。 个人信息收集范围 数据安全中心DSC收集及产生的个人数据如下： 类型 收集方式 是否可以修改 是否必须 用户ID 在控制台进行任何操作时Token中的用户ID 在调用API接口时Token中的用户ID 否 是，用户ID是用户的身份标识信息。 数据库密码 用户在控制台自行填入 是 是，对数据库数据进行扫描、脱敏和注入水印时，DSC需使用数据库密码联通数据库，获取数据。 数据存储方式 租户ID不属于敏感数据，明文存储。 数据库密码：加密存储。 数据访问权限 用户只能查看自己业务的相关日志。 审计日志记录 用户个人数据的所有操作，包括修改、查询和删除等，数据安全中心DSC都会记录审计日志并上传至云审计服务（CTS），用户可以并且仅可以查看自己的审计日志。

本小节介绍容器安全卫士服务等级协议，请点击查看。 天翼云容器安全卫士服务等级协议

此小节介绍天翼云数据库安全服务等级。 天翼云数据库安全服务等级协议

本节介绍服务器安全卫士（原生版）服务协议。 请参见天翼云服务器安全卫士（原生版）服务协议。

本节介绍服务器安全卫士（原生版）服务等级协议。 请参见服务器安全卫士（原生版）服务等级协议。

标签规则 标签规则是指对某一标签下的终端设置微隔离规则，包括微隔离规则、一键封锁IP以及一键关闭端口。关于标签的更多信息，请参考分组标签。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 微隔离 > 微隔离”，选择配置模式。 3. 选择“标签规则”页签，可执行以下操作。相关配置参数请参见终端规则。 选择标签（如Linux），点击“新增规则”，可对标签下的终端新增微隔离规则。 选择标签（如Linux），点击“一键封锁IP”，可对标签下的终端设置一键封锁IP。仅混合模式支持“一键封锁IP”。 选择标签（如Linux），点击“一键关闭端口”，可关闭标签下的终端的相应端口。仅混合模式支持“一键关闭端口”。 相关操作 登录大模型安全卫士实例，在菜单栏选择“策略管理 > 微隔离 > 微隔离”，可执行以下操作。 点击“导出”，可导出微隔离规则。 点击“导入”，选择微隔离规则文件（已导出的微隔离规则文件），即可导入微隔离规则。 勾选规则（可勾选多个），点击“启用”，在弹出的对话框中点击“确定”，可批量启用微隔离规则。 勾选规则（可勾选多个），点击“禁用”，在弹出的对话框中点击“确定”，可批量禁用微隔离规则。 勾选规则（可勾选多个），点击“删除”，在弹出的对话框中点击“确定”，可批量删除微隔离规则。

本章节为您简单介绍API风险监测的基本内容。 API 与应用系统安全审计系统采用旁路部署在网络靠近应用服务器的交换机上，将流量复制转发到产品中进行解析还原，分析业务系统中可被利用的脆弱性漏洞，实时监测用户异常访问数据行为，支持在泄漏发生时进行溯源分析，全方面守护企业应用数据安全。 总览页 API风险总览页面总计六个模块。 数据总览：可查看应用系统、API、账号及文件数量。 生命周期分布：查看指定时间段内的风险趋势、风险分布、生命周期分布、API敏感数据特征分布。 现存风险分布：查看目前系统内当前所有风险的统计情况。 新增风险趋势：查看近一个月内风险的新增情况。 API敏感特征分布：查看所有API中敏感信息的分布情况。 访问流量梳理：查看系统最近的访问情况。

接口功能介绍 服务器安全卫士系统，服务器安全卫士数据导出任务取消接口 接口约束 签约服务器安全卫士 URI POST /v1/security/data/cancelTask 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 exportTaskId 否 String 导出任务id SDET20251113154639000000000009936911 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"exportTaskId": "SDET20251113154639000000000009936911"}

本文介绍如何在容器安全卫士响应中心页面查看已处理的告警信息，并支持对已暂停的容器进行恢复、对已隔离的Pod进行解除隔离等操作。 响应中心展示“已隔离”、“已暂停”、“已重启”的容器，“已阻断”的镜像和已加入白名单的告警。 隔离Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在隔离Pod列表，可以对已隔离的Pod进行恢复。 暂停容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在暂停容器列表，可以对已暂停的容器进行恢复。 重启Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在重启Pod列表，可以查看重启过的Pod。 镜像阻断列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在镜像阻断列表，可以对已阻断的镜像解除阻断。

本节介绍如何发布网络策略并查看发布记录。 在预发布策略确认无误后，可以选择正式发布策略。 发布策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 3. 单击策略列表操作列内的“发布”按钮，可以将预发布的策略改为正式发布。 4. 修改后，发布状态将改变为“已发布”状态。 若要修改已经发布的策略，需要先单击策略列表操作列内的“撤销”按钮撤回已发布的策略，撤回后才支持进行编辑操作。 查看发布记录 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 3. 单击策略列表右上方的“发布记录”按钮，即可查看策略发布记录。

功能项 功能说明 标准版 专业版 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

云资源集成系统产品使用手册 一、 产品概述 1.1 产品介绍 云资源集成管理系统CRIMS 是一款数据中心资产监测管理软件，旨在帮助数据中 心管理相关人员或资产所有人解决资产管理混乱、资产状态未知、已有资产使用不明确 等问题。 本系统以功能模块做标准版及增购版的区分，标准版含：首页、监测、数据分析、 发现、告警、系统；增购版另有能耗、资产、机房、报修、专线、存储、自动装机、vKVM、 控制管理模块可组合加购。 1.2 产品核心能力 CRIMS 采用领先的带外与带内结合管理技术实现对业务硬件与软件的全方面监控， 可对数据中心 IT 基础设施进行监测、管理运营，为软硬件设备提供全生命周期管理，实 现设备从采购、安装使用，再到运维、报废的全过程服务。并对监测数据进行分析、管 理，为日常运营提供支持。CRIMS 无需在每台服务器上安装代理软件，减少对操作系 统的影响。可以有效帮助用户减少繁琐、重复、费时的各项运维工作，保障数据中心设 备安全、稳定运行，同时降低数据中心运营成本。 1.3 产品优势 CRIMS 硬件监控方面支持各个品牌各个型号的小型机、刀片服务器、刀箱、塔式& 机柜式服务器的硬件状态和各个厂家的高端存储、中端存储、低端存储、虚拟化存储、 虚拟带库、物理带库等存储资源，硬件监控内容包括：电源、风扇、内置磁盘、CPU、 内存、网卡、HBA 卡、拓展模块等服务器各个部件运行状态，配置信息，电源、风扇、 电池、磁盘柜、硬盘、控制器、Array、机械手、磁带机等； CRIMS 软件监控方面支持监控主流操作系统：Linux，Windows，AIX，AS400， ScoUnix，Solaris，HP Unix，国产 UOS 的服务状态；主流云平台：VMWare，Red Hat， FusionCompute，Amazon，阿里云，Docker 的虚 机状态；主流数据库：DB， MySQL,Oracle,Oracle Rac,Oscar,PostgreSQL,SQLServer,SyBase 的库状态,主流应用 程序：AD，Apache，HACMP，IBM MQ，IIS，Nginx，PowerHA，RHCS，Resin， Exchange，JBoss，JBoss EAP，Kafka，Lotus，Memcached，PolyCom，Redis，Tomcat， Tuxedo，Url Recored，WebLogic，Zookeeper 的进程状态，软件监控内容包括：时间 校验，文件数量，进程数量，IO 性能，网络速率，服务状态，Lun，Cache 统计，控制 器，，FC 端口，PCIe 端口，FCoE 端口，NE 节点，异网 IP，文件系统，线程缓存，缓 冲排序，Query 缓存，访问量(QPS)，数据库引擎，主备复制，表空间信息，数据目录等。 更多产品使用具体方法请下载附件查看。 云资源集成系统产品使用手册part1智能运维标准服务.pdf

生产消息 import java.util.ArrayList; import java.util.List; import java.util.Properties; import java.util.concurrent.Future; import org.apache.kafka.clients.CommonClientConfigs; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.config.SslConfigs; public class KafkaProducerDemo { public static void main(String args[]) { //加载kafka.properties Properties kafkaProperties JavaKafkaConfigurer.getKafkaProperties(); Properties props new Properties(); //设置接入点，请通过控制台获取对应Topic的接入点 props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, kafkaProperties.getProperty("bootstrap.servers")); //设置SSL根证书的路径，请记得将XXX修改为自己的路径 props.put(SslConfigs.SSLTRUSTSTORELOCATIONCONFIG, kafkaProperties.getProperty("ssl.truststore.location")); //根证书store的密码，保持不变 props.put(SslConfigs.SSLTRUSTSTOREPASSWORDCONFIG, "c24f5210"); //接入协议，目前支持使用SSL协议接入 props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SSL"); //Kafka消息的序列化方式 props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, "org.apache.kafka.common.serialization.StringSerializer"); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, "org.apache.kafka.common.serialization.StringSerializer"); //请求的最长等待时间 props.put(ProducerConfig.MAXBLOCKMSCONFIG, 30 1000); //设置客户端内部重试次数 props.put(ProducerConfig.RETRIESCONFIG, 5); //设置客户端内部重试间隔 props.put(ProducerConfig.RECONNECTBACKOFFMSCONFIG, 3000); //hostname校验改成空 props.put(SslConfigs.SSLENDPOINTIDENTIFICATIONALGORITHMCONFIG, ""); //构造Producer对象，注意，该对象是线程安全的，一般来说，一个进程内一个Producer对象即可； //如果想提高性能，可以多构造几个对象，但不要太多，最好不要超过5个 KafkaProducer producer new KafkaProducer (props); //构造一个Kafka消息 String topic kafkaProperties.getProperty("topic"); //消息所属的Topic，请在控制台申请之后，填写在这里 String value "this is the message's value"; //消息的内容 try { //批量获取 futures 可以加快速度, 但注意，批量不要太大 List > futures new ArrayList >(128); for (int i 0; i kafkaMessage new ProducerRecord (topic, value + ": " + i); Future metadataFuture producer.send(kafkaMessage); futures.add(metadataFuture); } producer.flush(); for (Future future: futures) { //同步获得Future对象的结果 try { RecordMetadata recordMetadata future.get(); System.out.println("Produce ok:" + recordMetadata.toString()); } catch (Throwable t) { t.printStackTrace(); } } } catch (Exception e) { System.out.println("error occurred"); e.printStackTrace(); } } }

业务场景 将 Redis 客户端部署到 CCSE 集群中，以通过 CCSE 连接到 Redis，并访问和操作 Redis 数据。 业务需求 1. 将 Redis 客户端容器化，以便更好地管理和部署。 2. 用 CCSE 提供的容器编排能力，实现高可用和负载均衡。 3. 确保 Redis 客户端能够安全地连接到 Redis，并正常地进行数据读写操作。 需求分析 1. 准备 Redis 客户端容器镜像，包含 Redis 客户端的依赖和配置。 2. 创建 CCSE 集群，配置网络和节点资源。 3. 部署 Redis 客户端容器到 CCSE 集群中。 4. 配置容器环境变量，指定连接 Redis 的相关信息。 5. 运行 Redis 客户端容器，并测试连接和数据操作功能。 实现方案 1. 准备 Redis 客户端容器镜像：创建一个 Dockerfile，并在其中指定 Redis 客户端的版本和依赖。例如： FROM redis:latest 配置客户端所需的其他依赖和配置 ... 2. 创建 CCSE 集群：在 CCSE 控制台创建一个集群，并配置网络和节点资源。根据实际需求选择合适的规格和数量。 3. 部署 Redis 客户端容器：使用 CCSE 控制台或命令行工具，在创建的 CCSE 集群中部署 Redis 客户端容器。指定前面准备的 Redis 客户端容器镜像。 4. 配置容器环境变量：在 Redis 客户端容器中配置连接 Redis 的环境变量，包括 Redis 服务器的地址、端口、密码等。例如，在容器启动时，设置以下环境变量 export REDISHOSTyourdcshost export REDISPORTyourdcsport export REDISPASSWORDyourdcspassword 5. 测试连接和数据操作：启动 Redis 客户端容器，并使用适当的客户端库和代码进行连接测试和数据操作。例如，使用 Java 语言的 Jedis 客户端库： import redis.clients.jedis.Jedis; public class RedisClientExample { public static void main(String[] args) { // 获取环境变量 String host System.getenv("REDISHOST"); int port Integer.parseInt(System.getenv("REDISPORT")); String password System.getenv("REDISPASSWORD"); // 创建 Jedis 客户端实例 Jedis jedis new Jedis(host, port); jedis.auth(password); // 进行数据操作 jedis.set("key", "value"); String value jedis.get("key"); System.out.println("Value: " + value); // 关闭连接 jedis.close(); } } 以上示例代码展示了如何使用 Java 的 Jedis 客户端库连接 Redis，并进行数据操作。您可以根据自己的需求和使用的编程语言选择适当的客户端库，并根据环境变量配置连接参数。 通过以上步骤，您可以将 Redis 客户端部署到 CCSE 集群容器中，并通过 CCSE 连接到Redis，实现对 Redis 数据的访问和操作。

本教程介绍如何通过在智能网关实例上开通SSL VPN客户端服务，实现移动办公。 应用场景 客户本地/云资源上已经部署了一台企业版CPE/企业增强版CPE/vCPE实例，随着业务不断发展，企业员工需要通过移动端远程访问本地/云上资源。针对此种需求，天翼云SDWAN可支持在智能网关实例上开通VPN客户端服务，满足移动办公员工快速、安全、实时接入内网的访问需求。 前提条件 注册天翼云账号，并完成实名认证。 CPE规格需为足企业版/企业增强版/vCPE，CPE在线且按照串接方式激活成功。 CPE已经部署安装SSL VPN服务。 操作步骤 步骤一：开通“VPN客户端”服务 1. 登录天翼云SDWAN控制台，选择“智能网关”，点击目标“智能网关”名称，进入详情页面，单击“VPN客户端” 2. 单击“开启服务”，配置客户端接入的地址池。如地址已完成配置，可直接进入下一步，添加客户端账号。 3. 单击客户端账号“添加”，填写客户端用户名和密码，也可通过上传附件方式，批量导入用户名和密码，点击“确定”，完成客户端账号分配。 步骤二：安装“VPN客户端”软件 根据操作系统类型下载对应的SSL VPN客户端软件进行安装，请参考VPN客户端下载 步骤三：建立客户端连接 在移动终端上打开SSL VPN客户端，建立连接。 1.首次配置客户端时，点击“立即新建”，进入新建 SSL 连接页面；已添加连接时，可通过点击连接列表上方的“添加连接”，进入新建 SSL VPN 连接页面。 2.配置连接信息，点击“保存”，完成新建连接。连接参数填写说明如下： 参数 填写说明 VPN 名称 输入自定义名称 网关IP 可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“服务器地址IP” 端口号 可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“服务器地址端口号” 用户名 可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“客户端用户名” 证书认证 选择配置“不启用” UDP 传输加速 选择配置“不启用” 描述 选择配置“不启用” 3.选中需进行连接的VPN名称，跳转至连接详情页。 4.点击“连接”按钮，输入客户端密码，可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“客户端密码”。 5.点击“提交”，完成内网连接。 6.连接成功后，可通过连接详情页查看连接的在线状态、在线时长、以及数据上下行传输信息、服务器信息、IP 地址等信息。

Windows环境下安装ICAgent失败，并提示SERVICE STOP 现象 ：在Windows环境下安装ICAgent失败，提示SERVICE STOP。任务管理器中不存在ICAgent任务。系统服务列表中不存在ICAgent服务。命令行下执行sc query icagent提示未找到。 原因 ：一般为360安全卫士等杀毒软件拦截了icagent服务注册。 解决方法 ： 1. 检查360安全卫士等杀毒软件是否正在运行。 2. 关闭360安全卫士后再进行icagent安装。 说明 Windows下ICAgent采集文件类型需要手动配置采集路径.log、 .trace、 .out等文本文件，不支持二进制文件。

本页介绍了天翼云关系数据库MySQL版的使用规范。 为保障数据库的稳定及安全，将对天翼云关系数据库MySQL版数据库级别的部分使用规范进行介绍。请用户在使用前进行参考学习。 数据库命名规范 使用有意义的、描述性的名称，库名、表名、列名建议以小写字母命名，这样可以避免大小写敏感的问题，每个单词之间用下划线分割。 为避免引起冲突，所有的数据库对象名称禁止使用MySQL保留关键字，详情请参考MySQL官网保留字与关键字。 数据库对象的命名要能做到见名知意，并且不超过32个字符。 数据库中用到的临时表以“tmp”为前缀并以日期为后缀。 数据库中用到的备份表以“bak”为前缀并以日期为后缀。 使用前缀或后缀：使用前缀或后缀来区分不同类型的数据库对象，可以增加对象的可读性和管理性。 数据库字段设计规范 使用能准确描述字段用途的名称，避免使用无意义的或过于简化的字段名，字段上限50左右。 优先为表中的每一列选择符合存储需要的最小的数据类型。优先考虑数字类型，其次为日期或二进制类型，最后是字符类型。列的字段类型越大，建立索引占据的空间就越大，导致一个页中的索引越少，造成IO次数增加，从而影响性能。 整数型选择能符合需求的最短列类型，如果为非负数，声明需是无符号（UNSIGNED）类型。 每个字段尽可能具有NOT NULL属性，int等数字类型默认值推荐给0，VARCHAR等字符类型默认值给空字符串。 避免使用ENUM类型，可以用TINYINT类型替换。修改ENUM值需要使用ALTER语句，ENUM类型的ORDER BY操作效率低，需要额外操作。如果定义了禁止ENUM的枚举值是数值，可使用其他数据类型（如CHAR类型）。 实数类型使用DECIMAL，禁止使用FLOAT和DOUBLE类型。FLOAT和DOUBLE在存储的时候，存在精度损失的问题，很可能在值的比较时，得到错误的结果。 使用DATETIME、TIMESTAMP类型来存储时间，禁止使用字符串替代。 使用数字类型INT UNSIGNED存储IP地址，用INETATON、INETNTOA可以在IP地址和数字类型之间转换。 VARCHAR类型的长度应该尽可能短。VARCHAR类型虽然在硬盘上是动态长度的，但是在内存中占用的空间是固定的最大长度。 使用VARBINARY存储大小写敏感的变长字符串，VARBINARY默认区分⼤小写，没有字符集概念，速度快。

本节介绍创建windows云电脑的操作说明。 天翼AI云电脑（政企版）可以通过资源包或单实例方式开通Windows系统的普通AI云电脑和GPUAI云电脑。 如需通过资源包方式开通AI云电脑，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.创建方式来源选择“资源包”或“单实例”； 资源包方式开通：管理员可通过已订购资源包，通过资源包的资源分配方式开通AI云电脑，无需单独付费。 单实例方式开通：管理员可以选择AI云电脑配置，直接通过付费完成AI云电脑的开通。 4.选择“Windows”系统类型； 5.选择规格类型“普通AI云电脑”或“GPUAI云电脑”，再根据需求选择AI云电脑规格； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 6.选择AI云电脑的“镜像类型”； 7.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 8.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 9.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 10.其它电脑实例配置信息，根据需要自行配置； 11.确认相关的配置信息，点击“创建桌面”，即完成电脑开通。

参数 参数类型 说明 示例 下级对象 configID Integer 【Deprecated】伸缩组配置ID，仅伸缩配置数目为1时有值 375 configList Array of Integer 伸缩组配置ID列表 [375, 263] recoveryMode Integer 实例回收模式。取值范围：1： 释放模式。 2： 停机回收模式。 1 regionID String 资源池ID 81f7728662dd11ec810800155d307d5b healthPeriod Integer 健康检查时间间隔（周期），单位：秒，取值范围：[300,10080] 300 maxCount Integer 最大云主机数，取值范围：[minCount,2147483647] 20 minCount Integer 最小云主机数，取值范围：[0,50] 1 expectedCount Integer 期望云主机数，取值范围：[minCount,maxCount]，非多可用区资源池不支持该参数 1 moveOutStrategy Integer 实例移出策略。取值范围：1： 较早创建的配置较早创建的云主机。 2： 较晚创建的配置较晚创建的云主机。 3： 较早创建的云主机。 4： 较晚创建的云主机。 1 createDate String 创建时间 20221008 22:25:54 groupID Integer 伸缩组ID 468 updateDate String 更新时间 20221008 22:25:54 healthMode Integer 健康检查方式。取值范围：1： 云服务器健康检查。 2： 弹性负载均衡健康检查。 1 useLb Integer 是否使用负载均衡，1：是 2：否 1 zabbixName String 【Deprecated】监控设备ID scalca04095d2f19427095f52ba6a30b25a3468 subnetList Map of String 【Deprecated】子网ID与可用区信息列表，非多可用区该值为空数组。 [{"az1": ["subnet7q4b66v5h5"]},{"az2": ["subnet7q4b66v5h5"]}] subnetIDList Array of Strings 子网ID列表 ["subnet7q4b66v5h5"，"subnet7q4b66v5h5"] vpcCidr String 虚拟私有云网段 192.168.0.0/16 status Integer 伸缩组状态。取值范围：1： 启用。 2： 停用。 1 vpcName String 虚拟私有云名称 vpc21a4 instanceCount Integer 伸缩组包含云主机数量 20 projectIDEcs String 企业项目ID 0 configName String 【Deprecated】伸缩配置名称，仅伸缩配置数目为1时有值 asconfige928 name String 伸缩组名称 asgroupa1ac securityGroupIDList Array of Strings 多可用区资源池安全组ID列表。非多可用区资源池该值为空数组，可在查询弹性伸缩配置接口查询。 ["4b793e4c0d675978b23f06e966fc45db"] vpcID String 虚拟私有云ID fda71b1de4de586081eb77388b965da1 azStrategy Integer 扩容策略类型，仅多可用区资源池支持。非多可用区资源池该值为空。取值范围：1：均衡分布。 2：优先级分布。 1 deleteProtection Boolean 是否开启伸缩组保护。取值范围：true：开启伸缩组保护，此时不能删除该伸缩组。false：关闭伸缩组保护，可删除该伸缩组。 true

本文主要介绍如何创建子账号，并对子账号设置系统策略，从而使用子账号开通实例，使用SQL Server控制台。 创建子账户并使用 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。创建子账户的步骤如下： 操作步骤 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择【我的】，点击【账号中心】，进入个人中心界面。 2. 在左侧导航栏点击【统一身份认证】，进入统一认证服务IAM。 3. 在左侧导航栏点击【用户】页签，点击右上角【创建用户】。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角【下一步】。 5. 如无用户组请先创建用户组，如有可点击【添加】，添加进该用户组之后，会自动显示在右侧【已选用户组】窗口。如后续从用户组删除该用户，可点击【移除】。admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自行创建的用户组。 6. 加入用户组后，点击右下角【下一步】，将会显示创建成功。点击【返回用户列表】，可以看到创建的子账户。 7. 选择左侧导航栏【企业项目】页签，可以看到默认的企业项目，您也可以点击右上角【创建企业项目】按钮新创建一个企业项目。点击右侧的【查看用户组】可进行查看和设置企业项目下的用户组。 8. 点击【设置用户组】，并选择可选的用户组，点击右箭头移动至右侧窗口，并点击【确定】。点击【移除】按钮可将用户组从企业项目中移除。如果您在上一步骤中创建了新的企业项目，也需要进行该步骤设置用户组。 9. 在新添加的用户组右侧选择【设置策略】，可以搜索SQL Server相关的策略，勾选策略，点击右移箭头移动至右侧窗口，并点击【确定】。确认后会提示操作成功，该步骤是为用户组的用户设置策略。 10. 退出当前账号，并使用步骤4中创建的子账号和密码登录，选择相应资源池和企业项目，您可看到主账户创建的资源。 11. 您也可以利用子账户创建开通实例。

插件版本 支持的集群版本 更新特性 社区版本（仅1.17及以上版本集群支持） 1.16.4 /v1.(17192123)./ 新增beta检查项ScheduledEvent，支持通过metadata接口检测宿主机异常导致虚拟机进行冷热迁移事件。该检查项默认不开启。 1.16.3 /v1.(17192123)./ 新增ResolvConf配置文件检查。 1.16.1 /v1.(17192123)./ 新增nodeproblemcontroller。支持基本故障隔离能力。 新增PID、FD、磁盘、内存、临时卷存储池、持久卷存储池检查项。 1.15.0 /v1.(17192123)./ 检测项全面加固，避免误报。 支持内核巡检。支持OOMKilling事件，TaskHung事件上报。 1.14.11 /v1.(171921)./ 适配CCE 1.21集群 1.14.5 /v1.(1719)./ 修复监控指标无法被获取的问题 1.14.4 /v1.(1719)./ 适配ARM64节点部署 适配containerd运行时节点 1.14.2 /v1.(1719)./ 适配Kubernetes 1.19集群，新增支持Ubuntu操作系统和安全容器场景 1.13.8 /v1.15.11v1.17./ 修复容器隧道网络下CNI健康检查问题 调整资源配额 1.13.6 /v1.15.11v1.17./ 修复僵尸进程未被回收的问题 1.13.5 /v1.15.11v1.17./ 增加污点容忍配置 1.13.2 /v1.15.11v1.17./ 增加资源限制，增强cni插件的检测能力

本章节为媒体存储存储桶复制概述。 适用场景 存储桶复制是跨不同存储区域或同一存储区域的存储桶之间自动、异步（近实时）复制对象，可根据配置，将源桶对象的创建、更新和删除等操作复制到目标存储桶。 通过存储桶复制功能，可满足用户以下场景需求： 合规性要求：因合规性要求，数据需要在不同存储区域或存储桶保存一份副本。通过存储桶复制，可在媒体存储的存储区域之间复制数据，以满足业务要求。 数据迁移：因业务发展需要，将业务数据从一个存储桶复制到另一个存储桶，实现数据的迁移。 数据备份与容灾：因业务运行需要，希望所有写入媒体存储对象存储服务的数据能够在另一存储区域进行备份，以预防在数据发生不可逆损毁时，有安全、可用的备份数据，可实时切换业务访问路径，保证业务不中断。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 使用说明 存储桶复制为近实时的操作，可能会存在对象不会立刻复制到目标桶中的情况，请耐心等待。 服务进行复制的过程中，会产生上传对象的请求，在按需计费模式下，这部分请求会按照次数计算费用，具体参考计费项 。 数据复制后，会在目的桶产生存储空间，因此会产生存储空间费用。存储空间计费可参考计费项 。 支持对源端分片上传的文件复制，源端分片上传完成后，服务开始进行复制。 目前存储桶复制暂不支持对追加写的文件进行复制。 当开启多版本控制时，源桶和目标桶的状态必须保持一致。 如修改目标桶中副本对象的ACL，可能会导致目标桶中的副本对象与源桶的对象访问控制权限不一致。 如配置同步历史数据，规则创建后将开始同步历史数据。历史数据仅同步规则创建前的数据。 如已配置同步历史数据且启用复制规则后，修改规则配置可能会使历史对象不被复制，因此建议在历史对象复制未完成前不要修改该桶的复制配置。 关闭同步将同时删除规则。

默认情况下云搜索服务安装了简繁体转换插件，用户无需自行安装。简繁体转换插件是一款可以使中文简体和中文繁体相互转换的插件。通过该插件的转换，用户可以使用中文繁体关键字搜索出包含对应中文简体的索引数据，也可以使用中文简体关键字搜索出包含对应中文繁体的索引数据。 简繁体转换插件通常可以当做analyzer、tokenizer、tokenfilter或charfilter来使用。 简繁体转换插件的转换类型包含如下两种： s2t：将中文简体转换为中文繁体。 t2s：将中文繁体转换为中文简体。 示例指导 1. 登录云搜索服务管理控制台。 2. 在左侧导航栏中，选择“集群管理”，进入集群列表页面。 3. 在集群列表中，单击需要使用的集群对应“操作”列的“Kibana”。 如果开启了安全模式，需要输入创建集群时设置的用户名和密码。 4. 在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 5. 在Console界面，执行如下命令，创建索引“stconvert”，并指定自定义映射来定义数据类型。 7.x之前版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "type": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } } 7.x之后版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } 返回结果如下所示。 { "acknowledged" : true, "shardsacknowledged" : true, "index" : "stconvert" } 6. 在Console界面，执行如下命令，导入数据到“stconvert”索引中。 7.x之前版本 POST /stconvert/type/1 { "desc": "國際電視臺" } 7.x之后版本 POST /stconvert/doc/1 { "desc": "國際電視臺" } 当返回结果信息中“failed”字段的值为“0”时，表示数据导入成功。 7. 在Console界面，执行如下命令，搜索关键字“国际”，并查看搜索结果。 GET /stconvert/search { "query": { "match": { "desc": "国际" } } } 搜索结果如下所示。 { "took" : 15, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : 1, "maxscore" : 0.5753642, "hits" : [ { "index" : "stconvert", "type" : "type", "id" : "1", "score" : 0.5753642, "source" : { "desc" : "國際電視臺" } } ] } }

本文主要介绍如何创建子账号，并对子账号设置系统策略，从而使用子账号开通实例，使用DRDS控制台。 创建子账户并使用 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。创建子账户的步骤如下： 操作步骤 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择【我的】，点击【账号中心】，进入个人中心界面。 2. 在左侧导航栏点击【统一身份认证】，进入统一认证服务IAM。 3. 在左侧导航栏点击【用户】页签，点击右上角【创建用户】。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角【下一步】。 5. 如无用户组请先创建用户组，如有可点击【添加】，添加进该用户组之后，会自动显示在右侧【已选用户组】窗口。如后续从用户组删除该用户，可点击【移除】。admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自行创建的用户组。 6. 加入用户组后，点击右下角【下一步】，将会显示创建成功。点击【返回用户列表】，可以看到创建的子账户。 7. 选择左侧导航栏【企业项目】页签，可以看到默认的企业项目，您也可以点击右上角【创建企业项目】按钮新创建一个企业项目。点击右侧的【查看用户组】可进行查看和设置企业项目下的用户组。 8. 点击【设置用户组】，并选择可选的用户组，点击右箭头移动至右侧窗口，并点击【确定】。点击【移除】按钮可将用户组从企业项目中移除。如果您在上一步骤中创建了新的企业项目，也需要进行该步骤设置用户组。 9. 在新添加的用户组右侧选择【设置策略】，可以搜索DRDS相关的策略，勾选策略，点击右移箭头移动至右侧窗口，并点击【确定】。确认后会提示操作成功，该步骤是为用户组的用户设置策略。 10. 退出当前账号，并使用步骤4中创建的子账号和密码登录，选择相应资源池和企业项目，您可看到主账户创建的资源。 11. 您也可以利用子账户创建开通实例。

本节介绍如何配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。 网站域名接入Web应用防火墙后，您可以选择开启攻击惩罚功能。开启并配置攻击惩罚功能后，当WAF检测到访问者的IP、Cookie或请求参数中有恶意请求时，WAF将按配置的攻击惩罚时长来自动封禁访问者。 配置的攻击惩罚标准会提供给BOT防护、精准访问控制防护模块使用。当配置BOT防护规则、精准访问控制规则时，可使用攻击惩罚标准功能。 BOT防护规则：当处置动作选择拦截、动态拦截时，支持勾选“攻击惩罚”。 精准访问控制规则：当处置动作选择拦截时，支持勾选“攻击惩罚”。 攻击惩罚对象 攻击惩罚的对象包含IP以及SESSION会话对象。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持攻击惩罚功能，请升级到更高版本使用。 配置攻击惩罚标准 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“攻击惩罚”模块，可以选择开启/关闭防护。 7. 单击攻击惩罚右侧的“前去配置”，进入攻击惩罚配置页面。 8. 配置攻击惩罚参数。 配置项 说明 拦截周期 配置初次拦截的时长，即第一次惩罚的时长。 单位为“分钟”，可输入10~60的整数。 说明 攻击惩罚与动态拦截同时生效，实际拦截时长按照攻击惩罚和动态拦截的最大时间进行拦截。 每次增长时长 配置多次拦截的增长时长，即在上一次惩罚时长的基础上增长对应的时间。 单位为“分钟”，可输入10~60的整数，10代表拦截时长每次增长10分钟。 最多拦截次数 配置最多拦截的次数。 可输入1~5的数字，1代表着惩罚目标增长1次处罚时间，下一次被永久拦截。5代表惩罚目标增长5次处罚时间后，下一次被永久拦截。 生效范围 默认为全部规则。 9. 单击“确认”，完成攻击惩罚配置。

本文为您介绍如何管理防护事件，以及防护事件日志中包含的字段含义。 云WAF将攻击防护的事件详情记录在事件报表中，用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下： 支持查看所选时间范围内的防护事件，查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。 提供防护事件多级查询，筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。 支持将列表数据下载到本地。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 查询防护事件 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 查询防护事件”，进入防护事件页面。 5. 在防护事件列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 防护对象 选择想要查看的防护对象，支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型，也可以根据需要，选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址，默认为全部，也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作，包含：观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 6. 筛选条件设置完成后，点击“查询”，筛选后的结果将在列表中展示，可通过右侧的“事件列表显示设置”按钮对攻击事件的字段进行自定义展示。 说明 CC攻击事件页签分别展示CC攻击事件数 和CC攻击次数，例如：页签显示CC攻击事件（1/3），实际含义为出现总计1次CC攻击事件数，一共有3次CC攻击。 事件显示字段支持自定义设置和重新排序，同时可以控制是否在新标签页中查看攻击事件详情。

随着业务逻辑的复杂化，越来越多的应用需要大量模块之间的网络调用。传统的单一外部防火墙，或依照应用分层的防火墙已渐渐无法满足需求。在一个大的集群里面，各模块、业务逻辑层，或各职能团队之间的网络策略需求越来越强。 CCE基于Kubernetes的网络策略功能进行了加强，通过配置网络策略，允许在同个集群内实现网络的隔离，也就是可以在某些实例（Pod）之间架起防火墙。 使用场景例如：某个用户有支付系统，且严格要求只能某几个组件能访问该支付系统，否则有被攻破的安全风险，通过配置网络策略可免除该风险。 约束与限制 VPC网络模型暂不支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置egress路由规则。 使用说明 若工作负载（例如名称为workload1）未配置网络策略，那“当前集群内的其它工作负载”都可以访问“名为workload1的工作负载”。 设置网络策略 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。在NetworkPolicy页签，单击“添加NetworkPolicy”。 NetworkPolicy名称：自定义输入NetworkPolicy名称。 集群名称：选择网络策略所在集群。 命名空间：选择网络策略所在命名空间。 关联工作负载： 单击“选择工作负载”，选择“需要设置网络策略的工作负载”，例如工作负载名称为workload1，单击“确定”。 规则：单击“添加规则”，参数设置请参见下表 表NetworkPolicy添加规则 参数 参数说明 方向 当前仅支持入方向。即“其它工作负载”访问“当前的工作负载（即当前案例中的workload1）”。 协议 请选择对应的协议类型，目前支持TCP和UDP协议，不支持ICMP协议。 目的容器端口 容器镜像中应用程序实际监听端口，需用户确定。nginx程序实际监听的端口为80。 若不填写容器端口，默认所有端口都可被访问。 远端 选择可访问“当前工作负载”的“其它工作负载”。通过目的容器端口来访问。 命名空间： 若选择某个命名空间，则该命名空间下的所有工作负载都会加入白名单，即都可访问workload1。 工作负载： 若选择某个工作负载，即该工作负载可以访问workload1 。仅支持选择与workload1同个命名空间下的“其它工作负载”。 步骤 2 设置完成后，单击“创建”。 步骤 3 若需要为当前工作负载添加更多网络策略，例如其它端口需要被某个工作负载访问，可单击“添加NetworkPolicy”，继续添加更多策略。 创建成功后，“仅远端中配置好的命名空间或工作负载”可以访问“当前工作负载”。

1. 登录大模型安全卫士实例。 2. 在菜单栏选择“系统管理 > 模型设置”，选择“基础模型设置”页签。 3. 根据实际情况修改配置参数。 参数 说明 模型提供方 支持DeepSeek、Kimi、通义千问、OpenAI。 模型接口地址 根据实际情况进行填写。例如 API密钥 根据实际情况进行填写。没有密钥可不填。 模型名称 配置模型名称。 4. 配置完成后，单击“测试连接”，稍等几秒钟弹窗“连接测试成功”后，点击“保存设置”即可。