背景信息 自定义运行时支持托管用户的HTTP Server。支持用户http请求的转发，请求链路：用户client > CF平台> Http server（自定义函数） 有两种调用函数的方式： HTTP调用（推荐）：例如使用HTTP触发器或者自定义域名。 API调用：通过Invoke API进行调用，例如使用SDK调用函数，或者控制台测试接口触发函数。 使用限制 一个函数的一个版本或别名，最多只能创建一个HTTP触发器。详细信息，请参见版本管理和别名管理。 HTTP Request限制 Request Headers不支持以"xfc"开头的自定义字段和以下自定义字段： connection keepalive 如果Request超过以下限制，会返回 400状态码和 InvalidArgument错误码。 Headers大小：Headers中的所有Key和Value的总大小不得超过8 KB。 Path大小：包括所有的Query Params，Path的总大小不得超过4 KB。 Body大小：同步调用请求的Body的总大小不得超过32 MB，异步调用请求的Body的总大小不得超过128 KB。 HTTP Response限制 Response Headers不支持以"xfc"开头的自定义字段和以下自定义字段： connection contentlength date keepalive server contentdisposition:attachment 如果Response超过以下限制，会返回 502状态码和 BadResponse错误码。 Headers大小：Headers中的所有Key和Value的总大小不得超过8 KB。 说明 从安全角度考虑，使用函默认的ctyun.com域名，服务端会在Response Headers中强制添加contentdisposition: attachment字段，此字段会使得返回结果在浏览器中以附件的方式下载。如果需要解除该限制，需设置自定义域名。 您可以通过绑定自定义域名，为函数映射不同的HTTP访问路径。

状态 说明 正常 数据库实例正常和可用。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 重启中 正在重启数据库实例。 重置密码中 正在重置管理员密码。 节点扩容中 正在扩容该实例下的节点个数。 节点缩容中 正在删除该实例下的节点。 存储扩容中 正在扩容实例的磁盘容量。 规格变更中 正在变更实例的CPU和内存规格。 备份上传中 正在上传备份文件。 备份中 正在创建数据库备份。 恢复检查中 该实例下的备份正在恢复到新实例。 转包周期中 实例的计费方式正在由“按需计费”转为“包年/包月”。 转按需中 实例的计费方式正在由“包年/包月”转为“按需计费”。 冷存储创建中 正在创建冷存储容量。 冷存储扩容中 正在进行冷存储扩容。 SSL切换中 正在开启或关闭SSL安全连接。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。您需前往费用中心充值成功，欠款核销后，冻结的实例才会解冻。 解冻中 欠款核销后，正在解冻数据库实例。 包周期变更资源检查中 包周期实例在进行变更过程中所持续的状态。 存储空间满 当磁盘空间满足以下条件时，实例变成存储空间满状态，且被设置为只读： 1.磁盘总空间>600G , 可用空间<18G 2.磁盘总空间<600G , 空间使用率>97% 当磁盘空间满足以下条件时，实例解除只读，变成正常状态： 1.磁盘总空间>600G , 可用空间>90G 2.磁盘总空间<600G , 空间使用率<85%

流量趋势模块和流量分析页面展示的流量有什么区别？ 两个模块流量数据的统计方式不同： “总览”页面的“流量趋势”模块基于流量统计数据，数据信息实时更新；展示的内容为入方向流量、出方向流量、VPC间流量信息。 “流量分析”页面基于会话统计数据，在连接期间，数据不会上报，连接结束后才会上报。 入云流量：入云方向的会话。 出云流量：出云方向的会话。 VPC间访问：VPC间的会话。 如何获取攻击者的真实IP地址？ 流量经过反向代理后，源IP被转换为回源IP，此时如果受到外部攻击，CFW无法通过源IP获取到攻击者的真实IP地址，您可通过攻击事件日志中的XForwardedFor字段查询真实IP地址。 查看XForwardedFor 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航树中，选择“日志审计> 日志查询”。进入“攻击事件日志”页面，在对应事件的“操作”列，单击“详情”。 5. 在“详情”中，切换至“攻击payload”页签，获取XForwardedFor字段。 方法一：在“载荷内容”中查看XForwardedFor（从客户端到最后一个代理服务器的所有地址IP）。 方法二：复制“载荷内容”，通过Base64工具，获得解码结果： XForwardedFor：从客户端到最后一个代理服务器的所有地址IP。

本页介绍了文档数据库服务权限相关常见问题。 开通实例时的root账号拥有什么权限 当您在订购实例时，会创建root账号，该账号拥有文档数据库服务内置的root权限，您可以执行show roles命令可以查询root账号的权限。 文档数据库服务默认的权限机制 实例创建时会创建默认的root账号，用户密码可在订购时指定。该账号拥有文档数据库服务内置的root权限。与社区版MongoDB相比，文档数据库服务进行了系列安全加固，社区版MongoDB用户可以不使用鉴权方式直接连接MongoDB数据库，但是文档数据库服务则需要用户使用用户名密码认证方式进行数据库服务的连接，此外对于密码的强度也进行了校验，用户密码需要满足密码复杂度要求才可以。 文档数据库服务的角色管理 角色管理是一种用于控制用户访问权限的重要机制。通过角色管理，可以定义不同用户对数据库的操作权限。实例创建时会创建默认的root账号，此外您还可以针对实例进行自定义角色管理，通过实例的账号管理页，按需配置角色。 文档数据库服务的用户管理 在文档数据库服务中，用户管理是通过创建用户并分配角色来控制用户对数据库的访问权限文档数据库服务支持对不同数据库中的用户进行独立的管理，并可以为用户分配不同的角色以控制其权限范围。为了提供更细致更友好的数据库服务，文档数据库服务会创建默认的root账号，支持root账号的密码修改。此外文档数据库服务还提供针对实例进行自定义的账户管理，进入实例的账户管理页，可以新增账号以及配置相应的权限。

原因分析 SQL语句违反DML审计规则。 解决方法 1. 用户评估该条DDL审计规则是否合理，若不合理，可以关闭该条DDL审计规则。 2. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 3. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 4. 在实例列表中，选择出现异常的DRDS实例，单击【管理】，进入实例【基本信息】页面。 5. 单击“分组管理”，选中默认分组，单击“更多”菜单，单击“DML审计”，找到某条审计规则并关闭。无需重启，在线生效。 问题6：执行SQL时，提示No database selected 原因分析 执行SQL语句前未选择库。 解决方法 1. 客户端连接DRDS实例执行SQL语句前，先执行 use 库名，比如 use testdb 选中testdb库，即可执行SQL语句。 问题7：连接DRDS，提示Authenticate connection to backend error 原因分析 DRDS连接底层关联的MySQL实例失败。 解决方法 1. 通过天翼云MySQL控制台排查MySQL实例的状态是否正常，若MySQL实例异常，建议用户可以提交MySQL故障工单。或者可以尝试通过MySQL控制台重启MySQL实例。 2. 通过客户端连接MySQL查看是否能连接，并通过show global status like '%conn%'查询MySQL当前的连接数。如果超过了MySQL最大连接数，可以根据实际需要主动关闭部分空闲连接。 3. 确保DRDS实例和MySQL实例在同一个VPC，且MySQL实例的安全组允许DRDS实例访问。 4. 尝试调整DRDS到MySQL的连接池，将最大空闲连接数提高。

如何获取分布式缓存Redis实例的连接地址和实例ID？ 在实例详情页中可以查询到以上信息，具体操作可参考查看连接地址。 可以通过rediscli连接Redis吗？ rediscli是原生Redis自带的命令行工具，您可以在CTECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 分布式缓存Redis版支持Jedis等通用的Redis客户端吗？ 支持。任何兼容Redis协议的客户端都可以访问分布式缓存Redis版，您可以根据应用特点选用Redis客户端。 关于Redis客户端的连接方法，请参见通过客户端连接Redis。 连接Redis实例需要在CTECS上安装Redis吗？ 不需要，只要有相应的Redis客户端即可从CTECS上连接Redis实例。 请参见通过客户端连接Redis。 缓存实例支持公网访问吗？ 支持通过绑定弹性IP进行公网访问，具体请参考公网连接Redis实例。 建议通过同一虚拟私有云下的弹性云主机来访问缓存实例，以确保缓存数据的安全。 缓存实例是否支持跨VPC访问？ 在一些情况下，由于实例未开启公网访问，不同虚拟私有云（VPC）间的网络通常是不互通的。这会导致无法直接访问分布式缓存服务（DCS）实例。为了解决这个问题，可以考虑创建VPC对等连接，以实现两个VPC之间的网络互通。 关于创建和使用VPC对等连接，请参考 VPC对等连接说明

本文为您介绍接入域名至Web应用防火墙（原生版）实例时，如何进行本地验证。 已在Web应用防火墙（WAF）中添加域名，但还未修改域名的DNS解析（将网站域名解析到WAF）时，建议您通过修改本地计算机的DNS解析，在本地计算机上验证WAF的域名接入设置正确有效。本文以Windows操作系统为例，介绍了在本地计算机验证域名接入设置的操作步骤。 前提条件 已通过CNAME接入模式手动添加网站域名。 背景信息 通过修改本地计算机的hosts文件，可以设置本地计算机的域名寻址映射，即仅对本地计算机生效的DNS解析记录。本地验证需要您在本地计算机上将网站域名的解析指向WAF的IP地址。这样就可以通过本地计算机访问被防护的域名，验证WAF中添加的域名接入设置是否正确有效，避免域名接入配置异常导致网站访问异常。 获取WAF IP 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“防护对象详情”页中，复制该域名对应的WAF CNAME地址。 7. 在Windows操作系统中，打开cmd命令行工具。 8. 执行命令：ping 。 9. 在ping命令的返回结果中，记录域名对应的WAF IP地址。

基本信息 负载类型：选择守护进程DaemonSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 容器运行时：CCE集群默认使用普通运行时。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 健康检查：设置容器健康检查 环境变量：设置环境变量 数据存储：存储概述 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 容器日志：使用ICAgent采集容器日志 说明 负载实例数大于1时，不支持挂载云硬盘类型的存储。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本节主要介绍如何管理托管视图，以及查看管理我纳管的和纳管我的空间。 操作场景 空间托管页面中，可以管理托管视图、我纳管的和纳管我的。 托管视图：查看已创建的托管视图及其详细信息。 我纳管的：列表呈现有哪些工作空间托管在我创建的托管视图中。 纳管我的：列表呈现我的工作空间被哪些托管视图纳管着。 托管视图 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在托管页面中，选择“托管视图”页签，进入托管视图页面。 5. 在托管视图页面中，可以查看和管理托管视图。 查看托管视图 参数名称 参数说明 托管视图名称 托管视图的名称。 区域 托管视图所在的区域。 绑定空间名称/ID 托管视图绑定的工作空间的名称和ID信息。单击绑定工作空间名称，可以快速进入该工作空间。 纳管空间数量 托管视图中绑定的工作空间数量。 创建时间 托管视图的创建时间。 描述 托管视图的描述信息。 操作 可以对托管视图进行编辑、删除操作。 编辑托管视图 1. 在待编辑托管视图所在行“操作”列，单击“编辑”。 2. 在弹出的编辑托管视图中，修改托管视图参数后，单击“确定”。 删除托管视图 1. 在待删除视图所在行“操作”列，单击“删除”。 如果需要删除多个视图，可以在列表中勾选需要删除的视图，并单击列表上方“批量删除”。 2. 在弹出确认框中，单击“确认”。

本节介绍如何新增工作空间。 操作场景 工作空间（Workspace）属于态势感知（专业版）顶层工作台，单个工作空间可绑定普通项目、企业项目，可支撑不同场景下的工作空间运营模式。 在态势感知（专业版）前，需要创建工作空间，它可以将资源划分为各个不同的工作场景，避免资源冗余查找不便，影响日常使用。 约束与限制 单账号单Region内最多创建5个工作空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在工作空间管理页面中，单击“新增”，系统从右侧弹出新增工作空间页面。 5. 配置新建工作空间参数，参数说明如下表所示。 参数名称 参数说明 区域 选择待新增工作空间所在区域。 企业项目 可选参数，在下拉列表中选择您所在的企业项目。 企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主账号的客户才可见。 说明 “default”为默认企业项目，账号下原有资源和未选择企业项目的资源均在默认企业项目内。 工作空间名称 自定义工作空间的名称。命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（()）。 长度不能超过64个字符。 标签 可选参数，添加该工作空间的标签，用于标识工作空间，方便您对工作空间进行分类和跟踪。 描述 可选参数，设置该工作空间的备注信息。 6. 单击“确定”，完成工作空间的新增。

本文介绍如何安装与升级cstorcsi插件。 Serverless集群提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储等。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 部分资源池不支持委托，插件安装需要配置用户AK、SK。安装前请首先到天翼云门户“用户”>“安全设置”>“用户AccessKey”中获取AK；SK可以在首次“创建AccessKey”时获取，也可提通过工单获取存量SK。若资源池支持委托，则不需要配置用户AK、SK。 插件安装 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“安装”。 4. 在弹出的安装界面，点击“安装”。 5. 安装成功后将跳转到插件实例列表页，可以看到插件安装状态。如果插件安装失败，可以查看失败日志，通过工单反馈问题。 插件升级/更新 您可以在控制台看插件实例，并根据需要对插件进行升级或者更新。 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击进入查看详情。在插件详情页可以看到版本列表，在说明中可以获取各版本发布变更内容，根据需要确定升级版本。 4. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，可以选择版本进行升级，也可以更新插件配置。 说明 如果当前插件版本已是最新版，插件实例列表页将不可见“升级”按钮。

本人账号已经在天翼云完成了实名认证，为什么使用短信服务仍需提交资质审核？ 账号的实名认证和云通信短信服务的资质审核用途不同，所以需要重新提交资质审核。 天翼云的账号实名认证，是确保您可以开通天翼云账号，正常使用订购业务。 云通信短信服务资质审核，是按照国家工信部和运营商的要求，在您使用短信服务时所申请的签名与资质需要进行认证和备案。 如何区分自用和他用？ 自用就是所使用的资质与账号主体资质一致。 他用就是代他人申请的资质，所使用的资质与账号主体不一致。 同一个账号可以提交多个资质吗？ 可以。 已审核通过的资质可以修改吗？ 已经通过审核的资质不支持修改企事业单位名称、企业信息和法人信息，只能修改经办人信息。 如果确实需修改资质的用途或企事业单位名称，则需要重新申请资质。 不更新不添加资质，会有影响吗？ 这个政策是根据工信管函【2023】794号等相关文件及基础电信运营商关于规范端口类短信业务经营行为和安全管理规范的规定，短信息内容提供者需要报备相关实名资质信息。 如果不提供，将无法在云通信平台新增新的短信签名。 原有已审核通过的签名会存在影响短信正常下发的风险。 新增资质需要提前准备哪些材料？ 类别 盖章件（红色） 自用 1、企业营业执照 （营业执照对应的编号，国家企业信用信息公示系统可查） 2、短信业务经办人身份证正反面 他用 1、企业营业执照 （营业执照对应的编号，国家企业信用信息公示系统可查） 2、短信业务经办人身份证正反面 3、授权委托书

本节主要介绍示例场景 您可以根据用户职责规划用户组。使用安全管理员访问IAM并创建用户组，再根据职责赋予用户组对应的权限。 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册。 业务场景 A公司是一家负责网站开发的公司，公司中有三个职能团队。为了方便A公司统一创建、分配资源并管理用户，A公司的人员不需要每人都注册帐号，而是由公司的管理员注册一个帐号，在这个帐号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。 本节以A公司使用IAM创建用户及用户组为例，帮助您快速了解，企业如何使用IAM完成服务权限的配置。 A公司人员组成 负责管理公司的人员以及资源的管理团队（对应下图中的“admin”），进行权限分配，资源调配等。团队成员包括James和Alice。 负责开发公司网站的开发团队（对应下图中的“开发人员组”）。团队成员包括Charlie和Jackson。 对开发团队开发出的网站进行测试的测试团队（对应下图中的“测试人员组”）。团队成员包括Jackson和Emily。其中Jackson同时负责开发及测试，因此他需要同时加入“开发人员组”及“测试人员组”，以分别获得两个用户组的权限。 图 用户管理模型 A公司业务组成 admin组主要负责公司人员权限分配，需要使用IAM服务。 开发人员组在网站开发过程中，需要使用弹性云主机（ECS）、虚拟私有云（VPC）以及云硬盘（EVS）。 测试人员主要负责网站的监控及测试，需要使用云监控服务（CES）。

连接和通道 每个连接使用大约100 KB的内存（如果使用 TLS会更多），成千上万的连接会导致RabbitMQ负载很高，极端情况下，会导致内存溢出。AMQP协议引入了通道的概念，一个连接中可以有多个通道。连接是长期存在的，AMQP连接的握手过程比较复杂，至少需要7个TCP数据包（如果使用TLS会更多）。相对连接来说，打开和关闭通道会更简单，但是建议通道也设置为长期存在的。例如，应该为每个生产者线程重用相同的通道，不要在每次生产时都打开通道。最佳实践是重用连接并将线程之间的连接与通道多路复用。 推荐使用Spring AMQP线程池：ConnectionFactory是Spring AMQP定义的连接工厂，负责创建连接。 不要在线程之间共享通道 大多数客户端并未实现通道的线程安全，所以不要在线程之间共享通道。 不要频繁打开和关闭连接或通道 频繁打开和关闭连接或通道会发送和接收大量的TCP包，从而导致更高的延迟，确保不要频繁打开和关闭连接或通道。 生产者和消费者使用不同的通道 生产者和消费者使用不同的连接以实现高吞吐量。当生产者发送太多消息给服务端处理时，RabbitMQ会将压力传递到TCP连接上。如果在同一个TCP连接上消费，服务端可能不会收到来自客户端的消息确认，从而影响消费性能。若消费速度过低，服务端将不堪重负。 大量的连接和通道可能会影响RabbitMQ管理接口的性能 RabbitMQ会收集每个连接和通道的数据进行分析和显示，大量连接和通道会影响RabbitMQ管理接口的性能。

服务名称 MRS 与其他服务的关系 主要交互功能 虚拟私有云（Virtual Private Cloud） MRS集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的MRS集群提供安全、隔离的网络环境。 创建虚拟私有云和子网 对象存储服务（Object Storage Service） 对象存储服务（OBS）用于存储用户数据，包括MRS作业输入数据和作业输出数据： MRS作业输入数据：用户程序和数据文件 MRS作业输出数据：作业输出的结果文件和日志文件 MRS中HDFS、Hive、MapReduce、YARN、Spark、Flume和Loader支持从OBS导入、导出数据。MRS使用OBS的并行文件系统提供服务。 配置存算分离集群（委托方式）配置存算分离集群（AKSK方式）配置HDFS映射方式对接OBS文件系统 弹性云服务器（Elastic Cloud Server） MRS服务使用弹性云服务器（Elastic Cloud Server，简称ECS）作为集群的节点，每个弹性云服务器是集群中的一个节点。 准备运行环境创建集群 关系型数据库（Relational Database Service） 关系型数据库（RDS）用于存储MRS系统运行数据，包括MRS集群元数据和用户计费信息等。 配置数据连接 统一身份认证服务（Identity and Access Management） 统一身份认证服务（IAM）为MRS提供了鉴权功能。 创建用户并授权使用MRSMRS自定义策略IAM用户同步MRS 消息通知服务（SMN） MRS联合消息通知服务（SMN），采用主题订阅模型，提供一对多的消息订阅以及通知功能，能够实现一站式集成多种推送通知方式。 配置作业消息通知 云审计服务（Cloud Trace Service） 云审计服务（CTS）为用户提供MRS资源操作请求及请求结果的操作记录，供用户查询、审计和回溯使用。 见下表

本文内容主要介绍通过公网连接文档数据库集群实例 操作场景 本章节指导您使用MongoDB客户端和Robo 3T工具，通过公网连接集群实例。 操作系统使用场景：弹性云主机的操作系统以Linux为例，客户端本地使用的计算机系统以Windows为例。 前提条件 1.集群实例绑定弹性公网IP，并设置安全组规则，确保可以通过弹性云主机或Robo 3T工具访问弹性云主机。 2.安装MongoDB客户端或Robo 3T工具。 MongoDB客户端 a.创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云主机”的内容。 b.在弹性云主机上，安装MongoDB客户端。 若通过界面连接信息连接集群实例，建议使用4.0版本以上的MongoDB客户端。 使用Robo 3T工具连接实例 步骤 1打开Robo 3T工具，在连接信息页面，单击“Create”。 连接信息（非SSL方式） 在弹出的“Connection Settings”窗口，设置新建连接的参数。 3.在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写集群实例绑定的弹性IP和实例的数据库端口。 Connection 4.在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建集群实例时设置的管理员密码。 Authentication 5.设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接集群实例。 集群实例连接信息（非SSL方式） 成功连接集群实例，工具界面显示如图所示。 连接成功

本节介绍了设置同区域备份策略的操作场景、约束限制、操作步骤等相关内容。 操作场景 创建关系型数据库实例时，系统默认开启自动备份策略，安全考虑，实例创建成功后不可关闭。您可根据业务需要设置自动备份策略，关系型数据库服务按照您设置的自动备份策略对数据库进行备份。 关系型数据库服务的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。备份以压缩包的形式存储在对象存储服务上，以保证用户数据的机密性和持久性。由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。 设置自动备份策略后，会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时，按照策略中的保留天数进行存放，备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟或一定数据量时会自动生成增量备份，用户不需要设置。生成的增量备份可以用来将数据恢复到指定时间点。 约束限制 当数据库实例被删除时，实例的自动备份将被同步删除，手动备份不会被删除。 全量备份时不允许重启数据库，请谨慎选择备份时间段。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。 − 备份所属的实例正在执行DDL操作。 − 从备份所属的实例获取备份锁失败。 全量备份会占用节点资源，尤其是磁盘带宽。可能会导致实例吞吐量下降，复制时延等问题。

配置Nginx 1.Nginx安装后，需要配置请求转发规则，告诉Nginx哪个端口收到的请求，应该转发到后端哪个Redis实例。 修改配置文件。 cd /etc/nginx vi nginx.conf 配置示例如下，如果有多个redis实例需要公网连接，可以配置多个server，在proxypass中配置Redis实例连接地址。 stream { server { listen 8080; proxypass 192.168.0.5:6379; } server { listen 8081; proxypass 192.168.0.6:6379; } } 说明 proxypass参数配置值为同一vpc下的Redis实例的IP地址，具体可从缓存实例详情页面的“连接信息”区域获取。 图 Nginx配置 2.重启Nginx服务。 service nginx restart 3.验证启动是否成功。 netstat angrep 808 图 启动Nginx及验证 通过Nginx访问Redis 1. 登录虚拟私有云控制台，确认跳板机的安全组规则是否放开，如果没有，则需要为安全组放开8080和8081两个端口。 2. 在公网环境中打开Redis命令行界面，输入如下命令，登录与查询都正常，大功告成。 说明 公网环境已参考Rediscli连接中相关步骤，安装Rediscli客户端。 ./rediscli h {myeip} p {port} 其中，命令中的{myeip}为主机连接地址，需要填写ECS的弹性IP，端口需要填写ECS上Nginx的监听端口。 如果Redis实例设置了密码访问，则执行本步骤输入密码，校验通过后才可进行缓存数据读写。 auth 其中“ ”为创建Redis实例时自定义的密码，请按实际情况修改后执行。 密码访问回显示例，及登录查询如下：

本章节主要介绍DCS Redis5.0命令的兼容性，包括支持命令列表，禁用命令列表。命令的具体详细语法，请前往Redis官方网站查看。 DCS Redis5.0基于开源5.0.14版本进行开发，兼容开源的协议和命令。 本章节主要介绍DCS Redis5.0命令的兼容性，包括支持命令列表，禁用命令列表。命令的具体详细语法，请前往Redis官方网站查看。 DCS Redis缓存实例支持Redis的绝大部分命令，任何兼容Redis协议的客户端都可以访问DCS。 因安全原因，部分Redis命令在分布式缓存服务中被禁用，具体请见Redis5.0禁用的命令。 DCS集群实例支持多个key，但不支持跨slot访问的Redis命令列表，如实例受限使用命令所示。 部分Redis命令使用时有限制，具体请见部分命令使用限制。 Redis5.0支持的命令 下表列举了Redis 5.0单机、主备、Cluster集群实例支持的命令。 下表列举了Redis 5.0 proxy集群支持的命令。 下表列举了Redis 5.0读写分离支持的命令。 说明 Redis高版本的命令，在低版本中不被兼容。判断DCS Redis是否支持某个命令，可通过在Rediscli执行该命令，如果得到（error）ERR unknown command ‘xxx’的提示，则说明不支持该命令。 Redis 5.0 Cluster版本集群实例使用pipeline时，要确保管道中的命令都能在同一分片执行。 表 Redis5.0 单机、主备、Cluster集群支持命令清单 [Keys](

本章节主要介绍翼MapReduce的配置Syslog北向参数。 操作场景 该任务指导用户以Syslog方式将MRS Manager的告警事件上报到指定的监控运维系统中。 须知：Syslog协议未做加密，传输数据容易被窃取，存在安全风险。 前提条件 对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC，且Master节点可以访问对接服务器的IP地址和指定端口。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“Syslog配置”。 “Syslog服务”的开关默认为关闭，单击启用Syslog服务。 2. 设置如下表所示的对接参数。 详见下表：对接参数 参数区域 参数名称 参数说明 Syslog协议 服务IP 设置对接服务器IP地址。 服务端口 设置对接端口。 协议 设置协议类型，取值范围： l “TCP” l “UDP” 安全级别 设置上报消息的严重程度，取值范围： l “Informational” l “Emergency” l “Alert” l “Critical” l “Error” l “Warning” l “Notice” l “Debug” Facility 设置产生日志的模块。 标识符 设置产品标识，默认为“MRS Manager”。 报告信息 报文格式 设置告警报告的消息格式，具体要求请参考界面帮助。 报告告警类型 设置需要上报的告警类型。 l “故障”表示Manager产生告警时会上报Syslog告警消息。 l “清除”表示清除Manager告警时会上报Syslog告警消息。 l “事件”表示Manager产生事件时会上报Syslog告警消息。 报告告警级别 设置需要上报的告警级别。支持“提示”、“一般”、“严重”和 “致命”。 未恢复告警上报设置 周期上报未恢复告警 设置是否按指定周期上报未清除的告警。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 间隔时间（分钟） 设置周期上报未恢复告警到远程Syslog服务的时间间隔，当“周期上报未恢复告警”开关打开时启用。单位为分钟，默认值为“15”，取值范围为5分钟到一天（1440分钟）。 心跳设置 上报心跳 设置是否开启周期上报Syslog心跳消息。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 心跳周期（分钟） 设置周期上报心跳的时间间隔，当“上报心跳”开关打开时启用。单位为分钟，默认值为“15”，取值范围为160。 心跳报文 设置心跳上报的内容，当“上报心跳”开关打开时启用，不能为空。支持数字、字母、下划线、竖线、冒号、空格、英文逗号和句号等字符，长度小于等于256。 说明：设置周期上报心跳报文后，在某些集群容错自动恢复的场景下（例如主备管理节点倒换）可能会出现报文上报中断的现象，此时等待自动恢复即可。 3. 单击“确定”，设置完成。

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本节介绍了无公网IP的弹性云主机访问Internet的操作场景、前提条件、Linux操作系统的代理主机。 操作场景 为保证安全和节省公网IP资源，通常只为特定的弹性云主机配置公网IP，可直接访问Internet，其他弹性云主机只配置私网IP，无法直接访问Internet。因此，当只配置了私网IP的弹性云主机需要访问Internet，执行软件升级、给系统打补丁或者其它需求时，可选择一台绑定了公网IP的弹性云主机作为代理弹性云主机，为其他无公网IP的云主机提供访问通道，正常访问Internet。 说明 优先推荐您使用NAT（NAT Gateway）网关服务。NAT网关能够为VPC内的弹性云主机提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。 前提条件 已拥有一台绑定了公网IP的弹性云主机作为代理弹性云主机。 代理弹性云主机和其他需要访问Internet的弹性云主机均处于同一网段，并且在同一安全组内。 Linux操作系统的代理主机 本节操作中，以代理弹性云主机的操作系统是CentOS 6.5为例。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页，输入代理云主机名称进行搜索。 5. 单击代理弹性云主机的名称，查看详情。 6. 在代理弹性云主机详情页面，选择“弹性网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 7. 登录代理弹性云主机。 详细操作方法请参见Linux弹性云主机登录方式概述。 8. 执行以下命令，检测代理弹性云主机是否可以正常连接Internet。 ping www.baidu.com 回显包含类似如下信息时，表示代理弹性云主机可正常连接Internet。 检测是否可以正常连接Internet 9. 执行以下命令，查看代理弹性云主机的IP转发功能是否开启。 cat /proc/sys/net/ipv4/ipforward − 回显为“0”表示关闭，请执行10。 − 回显为“1”表示开启，请执行16。 10. 执行以下命令，打开IP转发功能配置文件。 vi /etc/sysctl.conf 11. 按“i”，进入编辑模式。 12. 修改如下参数的值。 将参数“net.ipv4.ipforward ”的值修改为“1”。 说明：如果“sysctl.conf”文件中不存在参数“net.ipv4.ipforward ”，执行以下命令进行添加： echo net.ipv4.ipforward1 >> /etc/sysctl.conf 13. 按“Esc”，输入 :wq ，按“Enter”。 保存设置并退出vi编辑器。 14. 执行以下命令，使配置文件修改生效。 sysctl p /etc/sysctl.conf 15. 执行以下命令，清除原有iptables规则。 iptables F 16. 执行以下命令，配置SNAT，使代理弹性云主机所在的网段内其他弹性云主机可通过代理弹性云主机访问Internet。 iptables t nat A POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat A POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4 为了确保重启后上述规则不丢失，可以执行vi /etc/rc.local 编辑rc.local 文件，将步骤16中的规则复制到rc.local文件，按“ESC”退出编辑模式，输入“:wq”保存并退出。 17. 执行以下命令，保存iptables的配置并设置开机自启动。 service iptables save chkconfig iptables on 18. 执行以下命令，查看SNAT配置是否成功。 iptables t nat list 回显类似如下图所示时，表示SNAT配置成功。 图 SNAT配置成功 19. 添加自定义路由。 1. 登录管理控制台。 2. 选择“网络 > 虚拟私有云”。 3. 选择需要添加路由表的虚拟私有云，在“路由表”页面，单击“添加路由”。 4. 根据界面提示，填写路由信息。 目的地址：是目的网段，默认是0.0.0.0/0。 下一跳地址：是代理弹性云主机的私有IP地址。 您可以在弹性云主机页面，查看该弹性云主机的私有IP地址。 20. 如需删除添加的iptables规则，需执行以下命令： iptables t nat D POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat D POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4

序号 参数 参数说明 ADSI 编辑器获取参数说明 LDAP Admin工具登录连接时对应字段 1 协议 ldaps://或ldap:// 若开启SSL加密则选择ldaps:// 若不开启SSL加密则选择ldap://，出于安全考虑，建议使用ldaps:// SSL 2 服务器地址 支持域名或IP地址例如：119.91.137.138（公网），10.1.20.9（内网） Host 3 端口号 ldaps://协议默认端口636，ldap://协议默认端口389，如果修改了端口，可通过 netstat an findstr LISTENING 命令查看 4 BaseDN 服务器根目录，通常是DN（Distinguished Name）的路径，例如：OUaoneid,DCaoneid,DCcom 首先找到根目录（即OUOrganization Unit），该OU需包含所有员工。右击点击属性，找到属性distinguishedName对应的值 Base 5 管理员账号 该账户需具备所有账户的读取权限，一般管理员账号在CNUsers目录下例如：CNAdministrator,CNUsers,DCaoneid,DCcom 找到管理员账号，右击点击属性，找到属性distinguishedName对应的值 Username 6 管理员密码 管理员账户对应的密码 Password 7 用户映射规则中对应AD字段 同步至AOne用户与组织中用户账号，姓名，手机号，邮箱在AD中的对应字段 选择一个账户，右击选择属性查看，选择符合你需求的字段 8 机构映射规则中对应AD字段 同步至AOne用户与组织中组织名称字段在AD中的对应字段 选择一个机构，右击选择属性查看，选择符合你需求的字段

本文主要介绍如何通过域名解析管理对企业的域名进行解析配置。 企业配置的域名应用，将默认使用对应关联连接器上的DNS配置进行解析，对于无法通过该配置解析的域名，可以使用域名解析管理功能进行配置，实现远程访问。 应用场景 对于部分企业内网域名，无法在公网进行解析，且不希望员工直接使用IP进行访问，例如不想暴露该应用对应的真实IP地址，此时可以使用域名解析管理功能进行配置，这样企业员工在登录客户端后即可使用配置的域名访问到实际的IP地址。 对于需要使用特定的DNS服务器进行解析的域名，可以为这部分域名配置统一的DNS服务器地址，远程零信任办公服务将优先使用该DNS服务器进行解析。 使用说明 企业配置的应用域名，将优先使用域名解析管理的配置进行解析，若某应用的域名无额外配置域名解析，将使用其关联连接器上配置的特定DNS服务器地址进行解析，若关联连接器无特定DNS服务器配置，则使用连接器部署机器上默认的DNS配置进行解析。 操作步骤 1.登录边缘安全加速平台控制台。 2.在左侧导航栏选择AOne零信任网络域名解析管理。 3.点击新增按钮，添加域名解析管理配置。 具体字段说明如下： 字段 说明 备注 域名 输入域名或泛域名，例如ctyun.cn，.ctyun.cn 支持一次性输入多个域名进行配置，不允许相同域名重复配置 解析模式 可选DNS、静态两种模式，DNS模式需要配置对应的DNS服务器地址，静态模式需配置对应的静态解析IP地址 DNS服务器地址 请输入DNS服务器地址，格式为xx.xx.xx.xx，多个请用回车换行，可支持输入至多10个，将按输入顺序进行轮询 请确保该域名所在的关联连接器，网络可达该DNS服务器地址 解析IP 请输入解析IP，格式为xx.xx.xx.xx，多个请用回车换行，可支持输入至多10个，将按输入的顺序作为使用优先级 操作 支持进行编辑和删除

用于上架企业常用软件,形成企业的软件仓库,员工通过客户端即可自行下载企业软件。 背景说明 管理员在软件仓库上架企业内常用软件，员工即可在客户端软件仓库自行下载，实现软件高效管理与便捷使用。 注意 客户端版本：支持Windows客户端，需为2.26.10及以上客户端。 套餐版本：已订购终端管理基础版以上套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【软件仓库】，查看软件仓库相关内容。 3. 可根据业务需求进行相关配置。 预定义软件库 内置多种类型的软件库，方便管理员直接上架互联网常见软件。 上架软件：此软件对范围内用户或设备可见。 下架软件：此软件不再对任何用户或设备可见。 自定义软件库 点击“上传软件”，输入软件的基础信息和安装包参数，主要字段说明如下。 字段 说明 软件来源 （1）文件上传 支持exe、msi格式的安装包，单次仅支持一个文件，文件大小不超过500M。软件存储空间默认5GB。 （2）在线链接 输入安装包下载链接，而非下载页地址。 软件版本号 参考格式1.1.1，版本号用于软件更新，请准确填写。 上架此版本 默认关闭，即所有员工对此软件不可见。 可以开启，即范围内员工对此软件可见。 运行环境 上架时，仅上架至对应位数的设备。 Windows 64位，Windows 32位。 Windows 64位。 Windows 32位。 运行参数 可用于软件的静默安装，系统将根据此参数执行安装任务，不填写则默认执行交互式安装。 安装校验 用于判断软件是否安装成功，填写几项则校验几项，如未填写则不校验。 通过名称校验：请输入准确的软件名称，否则无法判断软件是否安装成功。 通过发布者校验：请输入软件的发布者信息，以辅助验证安装结果。

前提条件 已为用户帐号配置手机号码，且用户手机号码可用。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 发送短信验证码的频率未超过要求限制。 系统短信网关配置为“内置”时，手机短信验证码针对单个帐号发送频率有以下限制： 1分钟内发送短信不超过1条； 1小时内发送短信不超过5条 ； 1天内发送短信不超过15条。 配置手机短信认证 1 管理员登录云堡垒机系统。 2 选择“用户 > 用户管理”。 3 单击待修改的用户登录名，或者单击相应“管理”，进入“用户详情”页面。 4 单击“用户配置”区域的“编辑”，修改用户的登录配置。 5 配置“多因子认证”为“手机短信”。 6 单击“确认”，完成用户“手机短信”双因子认证配置。 手机短信方式登录 修改认证配置后，用户进入云堡垒机系统登录Web页面或SSH客户端登录界面，选择“手机短信”认证方式，输入登“录名”和用户帐号绑定手机号，获取短信验证码登录。 如何取消手机短信方式登录认证？ 当用户短信网关故障，无法通过手机短信方式登录，可由管理员取消“手机短信”多因子认证配置。 若admin用户配置了“手机短信”多因子认证，无法登录系统取消多因子认证配置，请联系技术支持。 前提条件 管理员已获取“用户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“用户 > 用户管理”，进入用户列表页面。 3 勾选待修改配置的用户帐号，单击左下角“更多”，展开批量操作项。 4 单击“修改多因子认证”，弹出多因子认证修改窗口。 5 去掉勾选“手机短信”多因子认证方式。 6 单击“确定”，即关闭了目标用户“手机短信”认证方式。 配置了手机令牌登录，但未绑定手机令牌怎么办？ 当系统管理员admin设置了开启手机令牌登录，但是没有绑定手机令牌时，可提工单反馈，技术支持人员收到反馈后，重置admin登录验证为初始状态，而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时，系统管理员admin可为目标用户修改登录“多因子认证”方式。 绑定了手机令牌，却不能登录怎么办？

本章节为您介绍运营处置功能模块。 登录系统后在上方菜单栏选择运营处置进入管理页面，可对告警分析、安全事件、风险隐患、工单管理等进行管理。 告警分析 进入运营处置页面后，在左侧导航栏选择“告警分析”即可进入告警分析页面。 告警分析依据聚合规则定时聚合告警信息，有效降低告警数量；可将告警转化为安全事件或安全隐患，实现从告警到事件处理的全流程闭环管理。 选择需要处理的告警名称，选择操作列的“处理”，在下拉框中选择对告警的处理方式。 若您需要生成安全事件，单击操作列的“生成事件”，弹出的对话框中会自动填充告警的相关信息进行事件生成。 安全事件 安全事件模块可对安全事件处置全流程进行管理，对事件名称、事件级别、事件类型、所属部门、事件发生时间等信息进行结构化处理，提供新建、编辑、删除、查询、处理、导入、导出、通报生成工单等功能，实现事件从记录到处理的闭环管理。 风险隐患 风险隐患模块可对风险隐患处置全流程进行管理，对风险名称、风险级别、风险类型、所属部门、风险描述、修复建议、CVE编号、处理状态、风险IP、风险端口、发现时间等信息进行结构化处理，提供新建、编辑、查询、导入、导出、通报生成工单等功能，实现风险从记录到处理的闭环管理。

本文介绍如何使用VPN网关在VPC和本地数据中心之间建立IPsec VPN连接,实现本地数据中心与VPC之间加密通信。 场景示例 以下图组网场景为例，某公司在天翼云创建了VPC，子网网段为192.168.1.0/24和192.168.2.0/24。本地数据中心的网段为172.16.1.0/24，本地网关设备的公网IP为121.XX.XX.113。公司因业务发展，需要本地数据中心与云上VPC互通。您可以通过IPsec VPN，建立本地数据中心与云上VPC的连接，实现云上和云下的加密通信。 环境要求 本地数据中心网关设备必须配置公网IP地址。 本地数据中心的网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 准备工作 您已经在天翼云创建了VPC，VPC中使用云主机部署了相关业务。 您已经了解云主机实例所应用的安全组规则，并确保安全组规则允许本地数据中心网络中的终端设备访问云上资源。 操作步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择目标资源池。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取值样例 计费模式 选择创建VPN网关所使用的计费模式。 包年/包月 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngatewayf0e0 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 IPsec 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc682f 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) IPsec带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M IPsec连接数 选择对应的IPsec VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。

版本 发布日期 说明 4.0 2026年03月24日 1. 支持免费版本。 2. 新增调整HBlock服务占用服务器内存参数功能。 3. 上云卷新增挂起卷功能。 4. 支持通过API设置本地卷的扩展属性。 5. 增加设置鉴权方式。 3.10 2025年09月25日 1. 支持target访问权限，实现客户端和target端权限管理。 2. 支持备份，基于快照生成独立于源卷的数据备份文件。 3. 支持设置QoS规则，从带宽和IOPS维度管控流量。 3.9 2025年04月21日 1. 支持快照功能，实现数据的快速备份与恢复。 2. 支持克隆卷功能，用于数据复制、测试验证等场景。 3.8 2025年02月14日 1. API签名方法变更，提升安全性。 2. 存储卷和缓存卷支持将数据上传至兼容 S3 的对象存储。 3. 支持设置基础服务的数据存储目录。 4. Target增加回收策略，支持无卷关联后自动删除。 5. 针对智算、虚拟化以及高可用敏感度等场景，支持一键调整系统参数。 6. 支持设置折叠副本数，允许数据副本/分片放在同一个故障域中。 3.7 2024年08月08日 1. 支持设置集群拓扑。 2. 支持创建和管理多存储池。 3. 支持机房和机架级别故障域。 4. 支持设置卷的高速缓存池。 5. 支持基础服务迁移。 3.6 2024年06月03日 1. 支持存储卷和缓存卷，将数据从后端上传到天翼云对象存储（经典版）I型。 2. 硬件及HBlock监控数据支持对接到Prometheus。 3. 支持HBlock告警信息对接到智能运维平台。 4. 优化读写性能。 5. 增加对龙芯服务器的支持。 3.5 2024年03月04日 1. 支持服务器、数据目录级别的故障域，支持磁盘级别的数据服务。 2. 支持指定基础服务的安装节点。 3. 支持数据目录配额，设置HBlock可写入的数据量上限。 4. Target可被多个客户端发现并连接。 5. 设置卷的最小写入副本数，提高数据写入安全性。 6. 扩大纠删码EC N+M支持范围，满足N+M<128。 3.4 2023年07月12日 1. 卷连接支持一主多备，提高业务可用性。 2. 支持IPv6环境。 3. 控制台提供Dashboard一页式概览。 4. 支持通过命令行查询CHAP密码。 3.3 2022年12月23日 支持安全移除服务器。 3.2 2022年09月26日 1. 监控项增加，扩大覆盖范围。 2. 增加对告警、日志管理的支持。 3. 事件中增加对系统事件的支持。 3.1 2022年06月14日 1. 单机版支持添加多个数据目录。 2. 集群版支持创建Target时指定对应的服务器，支持Target迁移。 3. 支持用户事件的记录和查询。 3.0 2022年01月18日 1. 命令行变更为非交互式。 2. 支持WEB、API调用方式。 3. 卷操作：支持设置卷的高可用类型和卷的写策略。 2.1 2021年08月27日 1. 增加对ARM服务器的支持。 2. 软件许可证：查看许可证时，可以显示允许的容量。 3. 卷操作：支持对卷进行主备切换，即卷对应的Active Target和Standby Target切换。 2.0 2021年05月28日 1. 支持集群版部署。 2. 支持多副本和纠删码数据冗余。

本章主要介绍变更规格 DCS管理控制台支持变更Redis缓存实例规格，即扩容/缩容，您可以根据实际需要，选择合适的实例规格。 说明 执行实例规格变更操作，建议在业务低峰期进行。业务高峰期（如实例在内存利用率、CPU利用率达到90%以上或写入流量过大）变更规格可能会失败，若变更失败，请在业务低峰期再次尝试变更。 如果实例创建时间非常早，由于实例版本没有升级而无法兼容规格变更（扩容/缩容）功能，请联系技术支持将缓存实例升级到最新版本，升级后就可以支持规格变更（扩容/缩容）功能。 变更规格过程中会有秒级业务中断，需要业务连接Redis的模块支持连接中断后重连。 实例变更规格，不会影响实例的连接地址、访问密码、数据、及安全组/白名单配置等信息。 实例类型变更须知 表 DCS实例类型变更明细 实例版本 支持的实例变更类型 变更须知及影响 Redis 3.0 单机实例变更为主备实例 连接会有秒级中断，大约1分钟左右的只读。 Redis 3.0 主备实例变更为Proxy集群实例 如果Redis 3.0主备实例数据存储在多DB上，或数据存储在非DB0上，不支持变更为Proxy集群；数据必须是只存储在DB0上的主备实例才支持变更为Proxy集群。 连接会中断，5~30分钟只读。 Redis 4.0/5.0/6.0 主备实例或读写分离实例变更为Proxy集群实例 说明 实例变更为Proxy集群实例后，Proxy集群实例默认开启多DB。 变更为proxy集群时，需要评估proxy集群的多DB使用限制和命令使用限制对业务的影响。具体请参考[Proxy集群使用多DB限制](

视频地址 在【视频地址】标签卡，可以看到该视频条目下的原始视频和所有转码后视频（如下图所示）。 其中原始视频位于列表首位，每一个转码后视频将按照转码完成时间降序排列。每个转码后视频，在该页展示的名称为该视频对应转码模版的名称。 在列表中，每个视频都会展示封装格式、视频宽、高、码率等基础元数据信息。 您可以点击【视频预览】播放相关视频。需要注意，由于浏览器对部分视频编码格式存在版权限制，因此在预览框可能会提示“该视频格式不支持”或出现有声音无图像等现象。此时并不意味着该视频损坏。您可以使用播放器客户端预览视频。 您也可以点击【复制地址】获得当前视频的URL地址。需要注意，当您的点播实例存储桶设置为【公共读】时，你获得的URL地址为不带签名的地址。当您的点播实例存储桶设置为【私有】时，你获得的URL地址为携带签名的地址，且该地址的有效期不超过24小时。为保护您的音视频文件的安全，云点播的点播实例存储桶在设置为【私有】时，不允许签名的有效期大于7天。如您需要在自己的播放网站上发布播放地址，请勿使用云点播控制台的【复制地址】功能获得播放地址。应该使用云点播的SDK或API生成相关预签名的发布地址。详情可查看签名应用及示例（V2版本）、鉴权签名及示例（V4版本）和对视频文件进行签名。