轻量型云主机通常服务将在几分钟内能够开通成功，若列表主机长时间处于开通中状态，或处于错误状态等情况，则可能是主机开通失败导致。 如果遇到支付订单后轻量型云主机开通失败的场景，您可以采取以下方法解决： 方法一：致电客服电话4008109889，电话客户将会引导你进行问题解决。 方案二：提交在线工单寻求帮助，以下对工单流程进行说明。 1. 登陆天翼云官网。 2. 点击右上角【我的】【工单管理】，进入工单管理界面。 3. 点击【新建工单】，进入新建工单界面。 4. 点击【更多产品问题】，选择【轻量型云主机】，点击【产品故障申报】。 5. 在申报页面，您可以填写您的主机信息，如订单、ID号，并附上故障截图。 6. 点击【确定提交】后，工单创建成功。

本节介绍如何进行威胁建模。 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“威胁运营 > 威胁检测 > 威胁建模”。 可以通过关键字、快捷方式、规则类型和标签查询关联分析规则。 3. 单击“新建”。 4. 基本信息填写，带有的为必填项 5. 选择规则类型和规则模板后，还需要配置原始告警源、输出结果、告警配置等。 6. 配置完成后，单击“保存”。列表中可以看到新建的规则。

本节介绍了容器安全策略的用户指南。 PodSecurityPolicy（简称PSP）从Kubenetes 1.21版本开始被标记为弃用（deprecated）状态，为此云容器引擎提供了基于OPA策略和gatekeeper准入控制器，扩展了相应的策略治理状态统计和日志上报检索等能力，同时内置了种类丰富的策略治理规则库，在规则配置上也更加灵活简单，帮助企业安全运维管理人员更好的使用策略治理相关能力。 操作步骤 安装容器安全策略插件 cubesecurity 1、 选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、 安装cubesecurity插件，插件安装成功后即可使用该功能。 查看集群当前策略治理状态 对于安装了策略治理相关组件的集群，您可根据以下操作查看集群当前策略治理状态。 1、选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、选择【策略总览】Tab页即可查看集群当前策略治理状态，包括：策略开启总览、近7天拦截和告警结果统计。 创建策略实例 您可根据以下操作在指定集群中创建策略实例。 1、选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、选择【我的策略】Tab页单击【创建策略实例】。 3、相关策略参数如下，配置完成后点击【确定】即可。 参数 说明 策略类型 Infra：基础设施层资源相关的策略类型。 CISK8s：基于CIS等K8s合规规范定制的策略类型。 PSP：替代Pod Security Policy（PSP）能力的策略类型。 K8sgeneral：基于最佳安全实践对K8s资源配置进行安全加固约束的通用策略类型。 实施动作 拦截：违反策略规则约束的指定资源部署会被拦截。 告警：违反策略规则约束的指定资源仍旧可以部署，只会产生对应违规审计的告警日志。 策略名称 根据选择的策略类型，在策略名称下拉列表中选择需要部署的策略模板名称。 参数配置 如果参数配置输入框中默认为空，说明规则不需要进行参数配置。 如果输入框中包含需要配置的参数模板，则请参考策略参数说明按照指定格式配置参数。

工作组,类似于传统安全中的安全域、业务组等概念。本小节介绍微隔离防火墙工作组。 1.每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。工作组页面可以进行新建、修改、删除操作。 2.工作组页面右上方的搜索框可以对工作组进行过滤，页面中基本属性栏可以进行排序， 下箭头为正序，上箭头为反序。 3.点击按钮，即可在弹出框中进行工作组的建立，一个工作组名称唯一，并选择13个标签。新建的工作组会出现在业务拓扑页面。 4.点击工作组名称可进入工作组详细页面。详细页面分为基础信息、工作负载、策略、授权管理、包管理。 5.工作负载详情页面中的工作负载页面，可查看当前此工作组包含哪些工作负载，在此页面可批量将工作负载调整到外部，也可选择其他组的工作负载调整到本组。 6. 工作组详情页面中的策略页面，可查看作用于该工作组的所有策略，并可以调整本组的策略状态。点击展开可查看策略详情。 7. 工作负载详情页面中的策略页面，可查看与本工作组相关的授权码，即通过本授权码安装的工作负载，均自动位于该工作组。 8.点击授权码，可进入授权码详情页面。 9.工作负载详情页面中的包管理页面，包管理页面用于客户端模块的安装和升级，包含本组所有工作负载。 10.点击其中显示的数字，可显示具体工作负载Agent的版本信息。

本节主要介绍弹性负载均衡的证书管理功能。 使用须知 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 目前SLB不支持对证书有效期等进行检查。 SLB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。 更换证书时，服务器证书的证书内容和私钥必须同时替换修改，可复制粘贴到输入框替换现有证书，或通过上传证书内容替换，不可编辑修改当前证书内容，否则将引起证书认证失败故障。 删除证书时，如果证书关联HTTPS监听，则无法删除，需先解除HTTPS关联证书，再删除证书。 创建证书 1. 登录公共算力服务控制台。 2. 点击左侧导航栏【网络>弹性负载均衡>证书管理】，在证书管理页面，单击“创建证书”，进入证书创建页面。 3. 参考服务器证书管理配置说明，点击“确定”，完成证书创建。 参数说明： 参数 说明 名称 证书名称，只能由数字、字母、、组成,以字母开通,且长度为264字符。 证书类型 仅可选择服务器证书。服务器证书：在使用HTTPS协议时，服务器证书用于SSL握手协商，需提供证书内容和私钥。 签名证书 （1）支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （2）证书格式以“BEGIN CERTIFICATE”开头， 以“END CERTIFICATE”结尾。 （3）通过中级CA机构颁发的证书，证书文件包含多份证书，需服务器证书与中间证书一起上传，格式如下： BEGIN CERTIFICATE 网站证书 END CERTIFICATE BEGIN CERTIFICATE CA 中间证书机构 END CERTIFICATE BEGIN CERTIFICATE CA 根证书机构 END CERTIFICATE 签名私钥 （1）证书格式以 “BEGIN CERTIFICATE”开头， 以“END CERTIFICATE”结尾。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需服务器证书与中间证书一起上传，格式如下： BEGIN CERTIFICATE 网站证书 END CERTIFICATE BEGIN CERTIFICATE CA 中间证书机构 END CERTIFICATE BEGIN CERTIFICATE CA 根证书机构 END CERTIFICATE 描述 填写证书相关描述，可选。

视图水印功能介绍。 综述 前提条件 打水印是在视频转码时，将特定的图片或文字附加在画面指定位置的过程。云点播目前支持以静态图片的方式叠加水印，并可以指定水印在画面中的大小和位置。 如果用户需要为视频打上图片水印，需要具备以下条件： 1. 将水印图片以png，jpeg等格式上传至云点播的存储桶。 2. 在【模版管理】【水印模版】创建一个水印模版。 支持的水印类型 功能 说明 :: 视频水印 在视频转码时，叠加水印图片。 截图水印 在视频截图时，叠加水印图片。 水印使用方式 在【点播模式】下，使用云点播的水印功能，可以通过以下途径： 途径 说明 :: 【媒体库】入口 使用云点播控制台操作。 云点播截图、转码API/SDK 调用云点播API打水印。 媒体库入口 前提条件 至少创建了一个点播实例。 至少已上传了一个文件。 至少创建了一个水印模版。 至少创建了一个转码模版或至少创建了一个截图模版。 操作步骤（转码水印） 1. 在【媒体库】页面，选择一个视频条目，在右侧的操作栏，点击【媒体处理】。在弹出的对话框（如下图所示）中，将处理类型选择为【转码】。在界面中【转码模版】处选择一个合适的转码模版；在【水印模版】处，选择一个合适的水印模版。关于水印模版的创建操作，可以参考【公共模版管理】【水印模版】。 2. 待转码任务完成以后，您可以在回调接口处获得该视频的URL地址等信息。详情可以查看音视频转码完成点播模式。 3. 您可以在【媒体库】【详情】【视频地址】标签卡找到刚才的转码视频。请注意，转码视频是根据转码模版的名称进行排列展示的。您可以根据上一步配置的转码模版名称，找到转码后的视频。点击【视频预览】或复制地址到本地播放器，可以播放该视频。从视频画面上可以看到叠加的水印。 注意 1. 水印模版必须搭配转码模版或者截图模版共同使用。

配置项 说明 集群服务商 服务商类型。 集群名称 自定义集群的名称，实例名称不允许重复。 舰队 创建注册集群完成后自动将集群加入指定舰队。创建时可不指定，注册集群创建完成后可手动加入舰队。 企业项目 集群归属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 虚拟私有云 配置集群的虚拟私有云VPC。在已有VPC列表中选择已创建的VPC，或单击 创建虚拟私有 云创建新的VPC。 子网 在列表中根据可用区选择已有子网，或单击 创建子网 创建新的子网。集群控制面与默认节点池将使用此处指定的子网。 安全组 支持选择 自动创建安全组 、 选择已有安全组 。 指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请参考 API server 访问 为API Server创建一个 按量付费 的私网ELB实例，作为集群API Server的内网连接端点。API Server提供了各类资源对象（Pod、Service等）的增删改查及Watch等HTTP Rest接口。 支持选择是否开放 使用 EIP 暴露 API Server 。 开放：开启后，将为 API Server 私网 ELB 实例绑定一个 EIP，获得从公网访问集群 API Server 的能力。 不开放：不会创建EIP，仅能在VPC内使用KubeConfig连接并操作集群。 注意 删除默认创建的ELB实例会导致API Server无法访问。 绑定EIP到ELB实例后，API Server可以通过公网接收请求，但集群内的资源无法通过此访问公网。 绑定公网IP 设置是否启用绑定EIP。选中此选项，会在集群中自动绑定EIP，用于建立集群链接。 说明 公网接入必选项；如果云上云下集群已通过专线接通网络，可以不勾选。 集群删除保护 推荐开启集群删除保护，防止通过控制台或OpenAPI误删除集群。

本节介绍了什么是弹性云主机服务、为什么选择弹性云主机、产品架构、访问方式,便于用户了解云主机的基础概念。 弹性云主机（Elastic Cloud Server，ECS）是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云主机创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云主机。 弹性云主机的开通是自助完成的，您只需要指定CPU、内存、操作系统、规格、登录鉴权方式即可，同时也可以根据您的需求随时调整弹性云主机的规格，为您打造可靠、安全、灵活、高效的计算环境。 为什么选择弹性云主机 丰富的规格类型：提供多种类型的弹性云主机，可满足不同的使用场景，每种类型的弹性云主机包含多种规格，同时支持规格变更。 丰富的镜像类型：可以灵活便捷的使用公共镜像、私有镜像或共享镜像申请弹性云主机。 丰富的磁盘种类：提供普通IO、高IO、通用型SSD、极速型SSD、超高IO性能的硬盘，满足不同业务场景需求。 灵活的计费模式：支持包年/包月或按需计费模式购买云主机，满足不同应用场景，根据业务波动随时购买和释放资源。 数据可靠：基于分布式架构的，可弹性扩展的虚拟块存储服务；具有高数据可靠性，高I/O吞吐能力。 安全防护：支持网络隔离，安全组规则保护，远离病毒攻击和木马威胁；AntiDDoS流量清洗、Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。 弹性易用：根据业务需求和策略，自动调整弹性计算资源，高效匹配业务要求。 高效运维：提供控制台、远程终端和API等多种管理方式，给您完全管理权限。 云端监控：实时采样监控指标，提供及时有效的资源信息监控告警，通知随时触发随时响应。 负载均衡：弹性负载均衡将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 更多选择理由，请参见弹性云主机的优势和弹性云主机应用场景。

本章节向您介绍如何为VPC增加扩展网段。 操作场景 创建虚拟私有云VPC时，您配置的IPv4网段是VPC的主网段。当VPC创建完成后，主网段不支持修改，若主网段不够分配，您可以参考以下操作为VPC添加扩展网段。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 在服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在虚拟私有云列表中，单击目标虚拟私有云所在行的操作列下的“编辑网段”，弹出“编辑网段”对话框。 5. 在“编辑网段”对话框中，单击“添加IPv4扩展网段”。 6. 输入扩展网段，单击“确定”。 约束与限制 创建子网时候，您可以基于主网段或者扩展网段来分配子网网段，但是一个子网网段，要么属于主网段，要么属于扩展网段，不能两个网段混用。 同一个VPC内的子网默认互通，基于主网段的子网和基于扩展网段的子网也是默认互通。 扩展网段的子网地址与VPC路由表中已有路由的目的地址相同或者重叠，会导致已有路由不生效。 在扩展网段中创建子网时，系统会为该子网生成一条目的地址为子网网段，下一跳为Local的路由，Local路由属于VPC内部路由，优先级高于VPC路由表中添加的其他路由。比如，VPC路由表已有某个下一跳为对等连接的路由，其目的地址为100.20.0.0/24；新增扩展网段子网的路由，其目的地址为100.20.0.0/16，100.20.0.0/16和100.20.0.0/24网段重叠，流量优先通过扩展网段子网的路由转发，会导致对等连接的路由失效。 VPC扩展网段支持的掩码范围为328。 不支持添加的扩展网段范围如下表所示。 网段类型 不支持的网段范围 私有网段预留地址 172.31.0.0/16 192.168.0.0/16 主网段已使用的私网网段 系统内部预留地址 100.64.0.0/10 214.0.0.0/7 198.18.0.0/15 169.254.0.0/16 公网保留地址 0.0.0.0/8 127.0.0.0/8 240.0.0.0/4 255.255.255.255/32

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 注意 建议您将目标内存占用率设置在 95% 以下，为操作系统内核和 kubelet 等关键系统进程预留足够的内存。若内存被完全耗尽，可能导致节点无响应、探针失联甚至节点进入 NotReady 状态，从而需要强制重启节点才能恢复。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 是否出现响应变慢、处理失败率升高等现象。 执行 kubectl get pod o wide 查看 Pod 状态，确认是否有 Pod 因 OOMKilled 而被重启。 如果为相关 Pod 配置了基于内存的 HPA 策略，观察是否触发了自动扩容。 验证您的业务监控告警系统是否成功捕获到节点资源异常或应用性能劣化，并触发了相应告警。

参数 参数说明 云存储类型 文件存储：文件存储适用于多种使用场景，包括媒体处理、内容管理、大数据和分析应用程序等。 分配方式 使用已有存储 云存储名称：选择已创建的存储，您需要提前创建存储，创建存储步骤请参见 创建文件存储卷 。 子类型：已创建的文件存储子类型。 存储容量：该容量值为PVC的属性值，若在IaaS侧实施过存储扩容后，容量值不一致是正常的。CCE1.13集群开始支持端到端容器存储扩容功能后，PVC容量才会和存储实体容量一致 自动分配存储 自动创建存储，需要输入存储的容量。 子类型：文件存储子类型为NFS。 存储容量：单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 配置如下参数： 1. 子路径：输入文件存储的子路径，如：tmp。 Kubernetes中数据卷挂载的subpath，指引用卷内的子路径而不是其根，不填写时默认为根。现只支持文件存储，必须是相对路径，且不能以“/”或“../”开头。 2. 挂载路径：输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径，请不要挂载在系统目录下，如“ / ”、“ /var/run ” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。

本文通过示范例子，向您介绍天翼云云搜索服务Elasticsearch实例可以提供的检索和分析服务。 这里，我们以一个示范的例子，向您简单介绍天翼云Elasticsearch实例可以提供的检索和分析服务，包括创建索引、数据导入、数据搜索、筛选排序等。 操作步骤 创建实例 1. 在“云搜索服务”产品页，单击“立即开通”。 2. 在云搜索服务实例创建页面选择实例类型为Elasticsearch、订购周期、当前区域（即资源池）、可用区、填写实例名称、节点规格等基础配置信息后，按页面提示并根据需要进行配置，然后点击下一步。 3. 按确认信息页面提示，勾选相关协议，完成订单付款，即可完成订购，等待资源开通完成，对应实例处于“运行中”状态，即为成功。 导入数据 Elasticsearch实例支持多种导入方式，常用的业务场景是把Logstash作为源接入搜索实例，在此，为了演示方便，我们以商品检索为例子，从Kibana的DevTools控制台里调用Rest API导入数据。 注意：Kibana需要预先链接公网使用，具体配置方法请参考实例公网访问。 1. 先在Kibana的左边栏里选择“Dev Tools“，进入控制台，其中左边屏幕为命令行调用API栏，右边屏幕为调用结果返回栏。 2. 首先，在console界面，我们创建索引productsfruits来定义存储数据的Schema。 具体语句如下： plaintext PUT /productsfruits { "mappings": { "properties": { "name": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignoreabove": 256 } } }, "price": { "type": "long" } } }, "settings": { "numberofshards": "1", "numberofreplicas": "0" } } 3. 然后在console里执行bulk插入语句，来将数据导入到索引里。 返回结果里errors为false，表示数据全部导入，具体语句如下： plaintext PUT /productsfruits/bulk {"index":{"id":1}} {"name": "苹果", "price": 10} {"index":{"id":2}} {"name": "香蕉", "price": 20} {"index":{"id":3}} {"name": "菠萝", "price": 15} {"index":{"id":4}} {"name": "火龙果", "price": 25}

本文通过示范例子，向您介绍天翼云云搜索服务OpenSearch实例可以提供的检索和分析服务。 这里，我们以几个示范的例子，向您简单介绍天翼云OpenSearch实例可以提供的检索和分析服务，包括创建索引、数据导入、数据搜索、筛选排序等。 操作步骤 创建实例 1. 在【云搜索服务】产品页，单击【立即开通】。 2. 在云搜索服务实例创建页面选择计费模式、订购周期、当前区域（即资源池）、可用区、实例类型、实例版本、实例名称、节点规格等基础配置信息后，按页面提示并根据需要进行配置，然后点击下一步。 3. 按确认信息页面提示，勾选相关协议，完成订单付款，即可完成订购，等待资源开通完成，对应实例处于“运行中”状态，即为成功。 导入数据 OpenSearch实例支持多种导入方式，常用的业务场景是把Logstash作为源接入搜索实例，在此，为了演示方便，我们以商品检索为例子，选择从Dashboards的DevTools控制台里调用Rest API导入数据。 注意：Dashboards需要预先链接公网使用，具体配置方法请参考实例公网访问。 1. 先在Dashboards的左边栏里选择“DevTools”，进入控制台。其中左边屏幕为命令行调用API栏，右边屏幕为调用结果返回栏。 2. 首先，在console界面，我们创建索引productsfruits来定义存储数据的Schema。 具体语句如下： plaintext PUT /productsfruits { "mappings": { "properties": { "name": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignoreabove": 256 } } }, "price": { "type": "long" } } }, "settings": { "numberofshards": "1", "numberofreplicas": "0" } } 3. 然后我们，在console里执行bulk插入语句，来将数据导入到索引里。 返回结果里errors为false，表示数据全部导入，具体语句如下： plaintext PUT /productsfruits/bulk {"index":{"id":1}} {"name": "苹果", "price": 10} {"index":{"id":2}} {"name": "香蕉", "price": 20} {"index":{"id":3}} {"name": "菠萝", "price": 15} {"index":{"id":4}} {"name": "火龙果", "price": 25}

跳转挑战 功能介绍：跳转挑战通过302、307跳转去防护无法正常执行跳转的爬虫，还能通过图片验证和一些JS挑战检验用户交互行为。 配置介绍：对触发防护策略的请求进行跳转处理，并提供多次验证机会，不放过恶意爬虫请求，也避免误拦截正常请求。 跳转方式：对于GET请求执行302跳转，对于POST请求执行307跳转，后续将支持图片验证码挑战、JS跳转等多种跳转方式 首次失败机会时间：对于跳转失败的请求提供再次验证，即机会时间内，跳转失败次数不通过后面的条件计数 处理动作：支持对触发防护策略的请求执行拦截、计数告警、跳转、放行的处理动作。处理动作为跳转、放行则无需配置触发条件 统计粒度：静态cookie/IP+UA/IP 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间） 静态cookie特性检测 功能介绍：主要针对盗用cookie的请求进行处理，即通过对cookie内容和请求内容的对比可以从不同维度进行爬虫检测，主要包括IP、UA、以及过期时间等。 配置介绍 超时异常。静态cookie中包含了时间信息，若攻击者盗用cookie，则可能会使用已过期的cookie请求 初次验证阶段：对于超时的请求提供初次验证阶段。首次超时请求的【】时间后，达到第【】个超时请求将进入再次验证 处理动作：支持对触发再次验证防护策略的请求执行拦截、计数告警、跳转、放行的处理动作。处理动作为跳转、放行则无需配置触发条件 统计粒度：静态cookie/IP+UA/IP 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间） IP异常防护。静态cookie中包含了上次访问下发的ip信息，若攻击者盗用cookie，请求中获取到的ip会与cookie中记录的不同。配置说明同超时异常 UA异常防护。静态cookie中包含了上次访问下发的UA信息，若攻击者盗用cookie，请求中获取到的UA会与cookie中记录的不同。配置说明同超时异常

本章节主要介绍查看业务场景实例的操作。 管理所有运行的业务场景，查看运行状态、运行日志、问题处理等。 界面说明 介绍“业务指标运维管理”页面中的区域和按键功能。 详见下图：运维管理页面 下表是运维管理页面说明 序号 区域 描述 1 菜单栏 运维管理的菜单栏，包括业务场景实例和我的订阅。 业务场景实例：展示当前用户的所有业务场景实例内容。 我的订阅：展示被当前用户设置订阅的业务场景信息列表。“我的订阅”较“业务场景实例”增加了“通知状态”信息。该信息展示了业务场景实例的运行结果是否被成功订阅，例如，发送告警邮件。 2 导航栏 左侧导航栏，包括数据业务场景的存储目录。 用户可以根据实际需要对业务场景进行分目录存放，每级目录旁边的数字代表属于该级目录的业务场景的个数。 3 业务场景实例列表 展示实例名称、运行状态、运行结果等信息。 4 搜索区域 可以选择性的展示业务场景实例，例如运行的开始时间和结束时间处于某一时间区间业务场景。 根据处理人、创建人、实例名称进行筛选展示业务场景实例的列表信息，输入内容支持模糊搜索。 下表是业务场景实例列表说明 菜单/按键 说明 运行状态 展示实例运行状态。 成功：表示实例运行成功。 失败：表示实例运行失败。 运行中：表示实例正在运行中。 运行结果 展示实例运行是否正常结束。 正常：表示实例正常结束，且执行结果符合预期。 告警：表示实例正常结束，但执行结果不符合预期。 异常：表示实例未正常结束。 ：表示实例正在运行中，无执行结果。 重跑 再次运行业务场景实例。 运行日志 查看规则实例的详细运行日志信息。 更多>处理问题 对当前业务场景实例进行进一步处理。支持填写处理意见，关闭问题和移交他人。 如果实例的处理人是当前登录用户则可以对业务场景实例进行处理操作，包括填写意见和转交给他人处理。 更多>处理日志 可查看历史处理记录。

快照是DWS集群在某一时间点的完整备份，记录了这一时刻指定集群的所有配置数据和业务数据，用于还原创建快照时的集群数据。 快照概述 快照是对DWS集群在某一时间点的一次全量数据或增量数据的备份，记录了当前数据库的数据以及集群的相关信息，其中包括节点数量、节点规格和数据库管理员用户名称等。快照创建方式包括手动创建快照和自动创建快照。 当选择将快照恢复到新集群时，DWS会根据快照记录的集群信息来创建新集群，然后从快照记录的数据中还原数据库信息。 当选择将快照恢复到原集群时，DWS会清除当前集群的数据，然后从快照记录的数据中将数据库信息还原到当前集群。 其中，快照备份和恢复速率如下（此速率为实验室测试环境下数据，介质为SSD本地盘，仅供用户参考。在实际使用中，由于磁盘、网络、带宽等因素可能会产生一定的差异）： 备份速率：200 MB/s/DN 恢复速率：125 MB/s/DN 说明 OBS快照存储空间：GaussDB(DWS)提供的免费存储空间等于集群存储空间，即单节点存储空间大小 节点数。 快照服务依赖及部署说明： 1. 快照管理功能依赖于OBS、NFS的备份介质。 2. 备份设备为NFS的备份介质时，使用挂载盘的方式，依赖云上SFSTubor服务。具体配置步骤请参见11.1.3.2自动快照策略配置备份介质。 当前快照恢复到新集群时仅支持OBS介质。 DWS根据快照创建的新集群与生成快照的原始集群具有相同的配置，即节点的数量和规格、内存、磁盘与原集群一致。 根据快照创建新集群时，如果没有指定其他值，则参数默认与生成快照时的备份信息保持一致。 快照生成期间，请避免进行Vacuum Full操作，否则可能会导致集群只读。 创建快照时因备份数据会降低磁盘I/O性能，建议在业务相对空闲的时期进行快照操作。 快照期间会保留一些中间文件，需额外占用磁盘空间，因此请避开业务高峰期并保证磁盘容量在70%以下。

适用场景 客户端存在Range请求，且源站支持Range，可响应指定范围内的内容数据时，建议开启Range回源功能，以提高文件分发效率及缓存利用率。 一般源站内容存在视频、APP等大文件场景下，建议开启Range回源功能。 注意事项 开启Range回源前需确认源站是否支持Range请求，即源站能够响应对应范围内的206文件分片内容，同时需确认源站响应头中是否包含TransferEncoding: chunked头部。如果源站不支持Range请求，或源站可能响应TransferEncoding: chunked头部，可提交工单申请配置“完整文件回源”功能，该功能开启后，客户端发起Range请求时，全站加速节点将会回源获取完整文件，并缓存下来，同时响应Range范围的数据。 开启Range回源时，全站加速会将用户请求（无论原始请求是否为Range请求）拆分成若干个Range请求回源，以一个100MB的文件为例，在Range回源开启时，全站加速获取完整文件需要回源100次，一定程度上会增加回源访问请求数和并发量，请合理设置分片大小。默认Range分片大小为1MB，即：如果客户端请求Range: bytes0100，则在全站加速节点回源时会将Range请求扩大为1MB。 请在新增域名时明确是否开启Range回源，以及开启Range回源的具体分片大小；一旦域名CNAME至我司产生流量后，建议不要轻易变更Range回源功能开启状态以及分片大小，否则可能会产生较高回源；如确实有调整需求，请在提交工单时特殊说明。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请附带如下信息： 1. 分片大小，默认为1MB；如需设置为其他值，请说明。 2. 开启分片范围，默认为域名粒度；如需设置为仅部分文件，请说明具体的文件范围，例如xx目录，或xx文件后缀（如.mp4、.flv等）。

Redis在线数据迁移是迁移整个实例数据么？ 如果是单机和主备实例之间进行迁移，是迁移实例所有的数据，不管存在哪个DB都会进行迁移，且数据所在的DB序号不会变； 如果是集群实例，由于集群实例只有一个DB0节点，会迁移DB0上所有槽内的数据。 DCS支持数据持久化吗？开启持久化有什么影响？ 是否支持持久化 对于Redis类型的缓存实例： 单机：不支持持久化。 主备、读写分离和集群（单副本集群除外）：支持持久化。 DCS实例支持的持久化方式 DCS实例默认仅支持AOF的方式进行持久化，同时支持客户自行开关数据持久化配置。创建的实例（单机或单副本集群除外）默认开启AOF持久化。 DCS实例默认不支持RDB持久化，因此也无法支持客户自行配置save参数。如果需要进行RDB持久化，可以使用主备或者集群实例的备份恢复功能，备份恢复时，Redis 4.0及以上实例，可以支持选择生成RDB持久化文件并且自动转储到OBS中。 持久化的磁盘是什么类型 Redis 4.0及以上版本的实例，持久化的磁盘是SSD类型。 开启/关闭AOF持久化的影响 开启AOF持久化后，由于RedisServer进程需要在AOF文件中记录对应的操作信息，用来进行数据持久化。开启持久化可能存在的影响： 当出现底层计算节点磁盘硬件故障或者IO故障时，可能会造成时延冲高或者主备倒换等情况发生。 RedisServer进程会定期进行AOF重写操作，重写期间可能会造成短暂的时延冲高，AOF重写规则请参考AOF文件在什么情况下会被重写。 如果在缓存场景下使用DCS实例进行应用加速，建议可以关闭持久化参数以获得更高的性能和稳定性。需根据实际业务慎重操作，关闭持久化后在极端故障场景（例如主备节点同时故障等）下可能出现缓存数据丢失的问题。 关闭操作：在实例详情的配置参数中将appendonly参数修改为no即可关闭AOF持久化。

Windows操作系统制作私有镜像为什么要执行Sysprep操作？ 对于需要将 Windows 操作系统加入域并使用域帐号登录的用户，在创建私有镜像之前，需要执行 Sysprep 操作。否则，镜像可能会保留与原始云主机相关的信息，尤其是 SID 信息。多个具有相同 SID 的云主机尝试加入域时可能会失败。如果您的 Windows 系统不需要进行域加入等操作，您可以选择不执行 Sysprep 操作。 Windows操作系统如何执行Sysprep? 操作场景 在 Windows 操作系统中，Sysprep（System Preparation）是一个用于系统准备和系统复制的工具，通常用于在创建镜像或部署操作系统时。 注意事项 Sysprep 的操作可能会因不同的 Windows 版本而略有差异，本文步骤适用于较新版本的 Windows 操作系统。 在执行 Sysprep 后，系统将返回初始状态，所以确保备份了重要数据。 Sysprep 后的系统镜像可以在不同的硬件上进行部署，但可能需要重新激活 Windows。 请根据您的需求和环境，仔细选择 Sysprep 的选项。 在进行 Sysprep 时，建议在操作前先进行备份，以避免意外丢失数据或系统不稳定。 操作步骤 下面是在 Windows 操作系统中执行 Sysprep 的步骤： 1. 打开 Sysprep 工具： 在 Windows 操作系统中，可以通过以下方式打开 Sysprep 工具： 按下Win+R组合键来打开“运行”窗口，然后输入sysprep并按Enter键。 转到C:WindowsSystem32Sysprep目录，找到并双击运行sysprep.exe。 2. 选择准备类型： Sysprep工具会打开一个对话框，询问您要执行的操作。在这里，选择以下选项： System Cleanup Action（系统清理操作）：选择"Enter System OutofBox Experience (OOBE)"，这会将系统还原为初始状态，以供用户设置。 Shutdown Options（关闭选项）：选择"Shutdown"，Sysprep完成后将关机。 3. 勾选其他选项： 在Sysprep对话框的下方，可以选择一些其他选项，如勾选"Generalize"以移除系统特定信息、勾选 "Shutdown" 以在 Sysprep 完成后关机等。确保选择适合您需求的选项。 4. 运行 Sysprep： 点击 "OK" 开始运行 Sysprep。系统会执行一系列操作来准备系统。 5. 系统复制： 系统准备完成后，系统将关机。您可以使用磁盘复制工具（如镜像软件）来创建基于准备好的系统的镜像，以便在其他计算机上进行部署。

本文介绍如何在控制台查看文件系统基本信息。 操作场景 查看文件系统的基本信息，支持按文件系统名称关键字过滤条件查看指定的文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在文件系统列表中查看所有文件系统的基本信息，参数说明如表所示： 参数 说明 名称 支持用户自定义修改，不可重复。文件系统名称只能由数字、“”、字母组成，不能以数字和“”开头、且不能以“”结尾，2~255字符。 状态 文件系统的状态，包含正在创建、可用、已冻结、已过期和创建失败。 存储类型 文件系统的类型，包括SFS Turbo标准型，SFS Turbo性能型。 企业项目 文件系统归属的企业项目。 可用区 文件系统所在的可用区。 协议类型 文件系统的协议类型为NFS或CIFS。 加密状态 已经创建的文件系统的加密状态，包括已加密和未加密。 付费方式 文件系统的付费方式，包括包年包月和按需付费。 到期时间 包年包月模式下的文件系统到期时间，按需付费不涉及。 挂载地址 文件系统的挂载地址，包括云主机访问（IPv4）和云主机访问（IPv6）的挂载地址。 操作 对文件系统的具体操作，包括添加VPC、续订（仅包年包月支持）和更多（扩容、删除/退订）。 4. 点击文件系统名称，可以跳转至文件系统详情页，查看更多文件系统基本信息更多参数及操作如表所示： 参数 说明 名称 文件系统名称，此处可进行文件系统名称修改。 ID 文件系统ID。 Linux云主机访问（IPv4） Linux云主机访问（IPv4）挂载地址。 Linux云主机访问（IPv6） Linux云主机访问（IPv6）挂载地址。 Windows云主机访问（IPv4） Windows云主机访问（IPv4）挂载地址。 Windows云主机访问（IPv6） Windows云主机访问（IPv6）挂载地址。 创建时间 文件系统创建时间。 已用容量 文件系统已用容量。 总容量 文件系统总容量。 5. 在详情页VPC页签下，可以查看文件系统绑定的VPC及权限组信息（部分资源池支持权限组），包含VPC名称、VPC的ID、权限组名称等。支持按VPC名称在VPC列表中进行搜索。可以进行添加VPC、解绑VPC、更换权限组（部分资源池）等操作。

本章介绍如何修改SQL Server数据库实例的参数组。 最佳实践概述 场景描述 概述：SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。根据华为国际化安全标准，打造安全稳定的数据库运行环境。被广泛应用于政府、金融、医疗、教育和游戏等领域。 典型行业：互联网企业、政府、医疗、金融 适配场景：企业级架构 方案优势 高安全性 弹性扩容 高可靠性 前提条件 需搭配开通ECS等产品 资源规划 网络资源规划 资源类型 配置项 配置明细 说明 :::: 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS ECS名称 ecsbendi 自定义，易理解可识别 ECS 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云服务器的实例规格。 ECS 操作系统 Windows 2016 ECS 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rds8c73 自定义，易理解可识别 RDS 数据库版本 SQL Server 2012标准版 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB

参数 说明 实例名称 RocketMQ实例名称是指在RocketMQ中创建的一个特定实例的名称。它可以用来唯一标识和区分不同的RocketMQ实例。根据RocketMQ的设计，实例名称通常由字母、数字和下划线组成，并且长度通常不超过255个字符。实例名称应该具有描述性，以便在多个RocketMQ实例存在时进行区分和管理。 实例ID RocketMQ实例ID是指在RocketMQ中创建的一个实例的唯一标识符。它是由系统自动生成的，用于区分不同的RocketMQ实例。实例ID可以用来管理和操作RocketMQ实例，例如创建、删除和修改实例等。实例ID通常由一串数字和字母组成，并且在RocketMQ集群中必须保持唯一性。 引擎类型 提供RocketMQ和CTGMQ两类引擎。 磁盘大小 购买实例选择的磁盘大小，通常为100G的整数倍。 磁盘类型 购买实例选择的磁盘类型，默认为SAS，也可选择更高的IO磁盘。 主机规格 购买实例选择的主机规格，主要展示CPU核数和内存大小，更多主机规格请参见产品规格。 broker节点数 RocketMQ的broker节点数是指在一个RocketMQ集群中扮演broker角色的节点数量。每个broker节点负责存储消息、处理消息的传输和消费者的请求等功能。 实例描述 用户根据需要可填写实例备注。 运行状态 实例当前运行状态，各状态描述见上文表格实例状态说明。 付费类型 创建实例时选择的付费类型，有包周期/按需两个选项。 创建时间 实例创建时间。 到期时间 包周期的实例到期时间，按需付费类型不展示。 专用网络 创建实例时绑定的VPC名称，详见订购前准备。 子网 创建实例时绑定的子网名称，详见订购前准备。 安全组 创建实例时绑定的安全组名称，详见订购前准备。 网络 VPC专用网络。 接入点 接入点具体VPC内网IP。 TPS监控 标识该集群所有Broker下，所有Topic的生产、消费TPS（2min）的时间变化曲线。 流量监控 标识该集群下，所有Topic的消费堆积情况，列表按倒序排列了堆积量最大的前20个Topic的堆积情况。 全局堆积 全局堆积是指消息在整个消息队列系统中的积压情况。 全局消息 标识该集群，所有Topic的生产情况，按现有消息量倒序排列。

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

欠费后如何重新启用？ 如果您在15天内充值补足欠款，服务会自动启用。 欠费后，资源进入保留期，您将不能正常访问及使用云服务（资源冻结），但对于您存储在云服务中的数据予以保留。 若您在保留期内充值，充值后系统会自动扣减欠费金额。 若保留期到期您仍未充值，存储在云服务中的数据将被删除、云服务资源将被释放。 包周期到期后如何解冻资源？ 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 表：按需欠费资源冻结处理机制 产品类型 保留期 超过保留期 ::: 计算、存储、网络、数据库类产品 15天 存储数据将被删除、云服务资源将被释放 终端类产品 7天 存储数据将被删除、云服务资源将被释放 是否支持退订？ 如果您有退订的需求，可以进行登录天翼云管理中心或产品控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考文档费用中心退订 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订。新购资源实例（不包含进行了续订、规格升级、扩容、操作系统变更、按需计费转包周期等操作的资源）在满足以下全部条件的前提下，享受七天无理由全额退订： 在资源开通的7天内发起退订； 发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； 同一用户累计使用的七天无理由全额退订次数不超过15次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。 客户同意天翼云使用上述信息核查同一用户情况 。 成套资源退订属于退订一个资源实例，记为1次退订。

本文介绍了WAF的Web攻击防护最佳实践，主要从应用场景、防护策略、防护效果三个方面进行介绍。 应用场景 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“安全 > Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，查看Web应用攻击防护的防护状态。 Web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。 状态 ：表示WAF的Web基础防护的防护模块已开启。 ：表示该防护模块处理关闭状态。 模式：分为拦截和仅记录两种模式。 “拦截”模式表示当遭受Web攻击时，WAF立即拦截攻击请求，并在后台记录攻击日志。 “仅记录”模式表示当遭受Web攻击时，WAF不会拦截攻击请求，仅在后台记录攻击日志。 步骤 7 单击“高级设置”，进入“Web基础防护”界面。 “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。 灵活设置防护检测类型。 WAF默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

本文主要介绍 iptables与IPVS如何选择。 kubeproxy是Kubernetes集群的关键组件，负责Service和其后端容器Pod之间进行负载均衡转发。 CCE当前支持iptables和IPVS两种转发模式，各有优缺点。 IPVS: 吞吐更高，速度更快的转发模式。适用于集群规模较大或Service数量较多的场景。 iptables: 社区传统的kubeproxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。 约束与限制 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 iptables iptables 是一个 Linux 内核功能，提供了大量的数据包处理和过滤方面的能力。它可以在核心数据包处理管线上用 Hook 挂接一系列的规则。iptables 模式中 kubeproxy 在 NAT prerouting Hook 中实现它的 NAT 和负载均衡功能。 kubeproxy 的用法是一种 O(n) 算法，其中的 n 随集群规模同步增长，这里的集群规模，更明确的说就是服务和后端 Pod 的数量。 IPVS IPVS(IP Virtual Server)是在Netfilter上层构建的，并作为Linux内核的一部分，实现传输层负载均衡。IPVS可以将基于TCP和UDP服务的请求定向到真实服务器，并使真实服务器的服务在单个IP地址上显示为虚拟服务。 IPVS 模式下，kubeproxy 使用 IPVS 负载均衡代替了 iptables。这种模式同样有效，IPVS 的设计就是用来为大量服务进行负载均衡的，它有一套优化过的 API，使用优化的查找算法，而不是简单的从列表中查找规则。 kubeproxy 在 IPVS 模式下，其连接过程的复杂度为 O(1)。换句话说，多数情况下，他的连接处理效率是和集群规模无关的。 IPVS 包含了多种不同的负载均衡算法，例如轮询、最短期望延迟、最少连接以及各种哈希方法等。而 iptables 就只有一种随机平等的选择算法。 IPVS相较于iptables的优势大致如下： 1. 为大型集群提供了更好的可扩展性和性能 2. 支持比iptables更好的负载均衡算法 3. 支持服务器健康检查和连接重试等功能

本页介绍天翼云TeleDB数据库语句行为相关参数。 searchpath (string) 这个变量指定当一个对象（表、数据类型、函数等）被用一个无模式限定的简单名称引用时，用于进行搜索该对象的模式顺序。当在不同模式中有同名对象时，将使用第一个在搜索路径中被找到的对象。一个不属于搜索路径中任何一个模式的对象只能通过用限定名（带点号）指定包含它的模式来引用。searchpath的值必需是一个逗号分隔的模式名列表。任何不是一个已有模式的名称，或者是一个用户不具有USAGE权限的模式，将被安静地忽略。如果列表项之一是特殊名user，则具有SESSIONUSER返回的名字的模式将取代它（如果有这样一个模式并且该用户有该模式的USAGE权限；如果没有，user会被忽略）。系统目录模式pgcatalog总是被搜索，不管它是否在搜索路径中被提及。如果它在路径中被提及，那么它将被按照路径指定的顺序搜索。如果pgcatalog不在路径中，则它将在任何路径项之前 被搜索。同样，当前会话的临时表模式pgtempnnn也总是被搜索（如果存在）。它可以在路径中通过使用别名pgtemp显式列出。如果在路径中没有列出，那么会首先对它进行搜索（甚至是在pgcatalog之前）。然而，临时模式只被用来搜索关系（表、视图、序列等）和数据类型名。它从不用于搜索函数或操作符名。当对象创建时没有指定一个特定目标模式，它们将被放置在searchpath中第一个合法模式中。如果搜索路径为空将报告一个错误。这个参数的缺省值是"$user", public。这种设置支持一个数据库（其中没有用户拥有私有模式，并且所有人共享使用public）、每个用户私有模式及其组合的共享使用。其它效果可以通过全局或者针对每个用户修改默认搜索路径设置获得。搜索路径的当前有效值可以通过SQL函数currentschemas检查。它和检查searchpath的值不太一样，因为currentschemas显示出现在searchpath中的项如何被解析。

概念 说明 生产站点 正常情况下承载业务的数据中心机房，可以独立运行，对业务的正常运作起到直接支持作用。对于异步复制，生产站点指的是用户的本地数据中心。 容灾站点 正常情况下不直接承载业务的机房，主要用于数据实时备份，在生产站点发生故障（计划性和非计划性）时可以通过执行容灾切换来接管业务，地理上不一定与业务管理中心接近，可以在同一个城市，也可以在不同的城市。 保护组 用于管理一组需要复制的服务器。一个保护组可以管理一个虚拟私有云下的服务器，租户拥有多个虚拟私有云时则需要创建多个保护组。 保护实例 一对拥有复制关系的服务器。保护实例仅属于一个特定的保护组，因此这对服务器所在位置与保护组的生产站点或容灾站点相同。 VBD VBD（Virtual Block Device）是云硬盘磁盘模式的一种。云硬盘的磁盘模式默认为VBD类型。VBD类型的云硬盘只支持简单的SCSI读写命令。适用于企业的日常办公应用以及开发测试等场景。 SCSI SCSI（Small Computer System Interface）是云硬盘磁盘模式的一种。SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的云硬盘还可以支持更高级的SCSI命令，例如持久锁预留，适用于通过锁机制保障数据安全的集群应用场景。 RPO 恢复点目标，一种业务切换策略，是数据丢失最少的容灾切换策略。以数据恢复点为目标，确保容灾切换所使用的数据为最新的备份数据。 RTO 恢复时间目标，为使中断对业务所带来的冲击最小化，关键业务从中断时点恢复到预定可接受水平上的目标时间。具体体现为，从生产站点发起切换或故障切换操作起，至容灾站点的服务器开始运行为止的一段时间，不包括手动操作DNS配置，安全组配置或执行客户脚本等任何时间，RTO小于30分钟。 容灾演练 为了确保一旦发生故障切换后，容灾机能够正常接管业务而进行的操作。 通过容灾演练，模拟真实故障恢复场景，制定应急恢复预案，当真实故障发生时，通过预案快速恢复业务，提高业务连续性。

本文简述直播录制功能的详细操作步骤。 视频直播支持将直播内容进行录制并存储到媒体存储中，您可以在对象储存中对录制的直播视频进行下载、分享等处理。 注意事项 一个域名只支持配置一个录制模板。 直播录制过程中，若直播推流因网络抖动等问题中断，则直播服务将中止录制。当推流重新启动时，直播服务将重新开启新的录制任务。 配置录制后，启动推流即开始录制，结束推流才可停止录制，暂无法按需停启。 仅支持对接收到的源直播流进行录制，暂不支持录制直播转码流。 直播录制功能为计费项，按照录制峰值计费，具体价格请参见增值服务中的直播录制收费标准。此外，由于直播录制生成的视频文件最终存储在媒体存储中，因此，产生的存储费用由媒体存储单独收取。 前提条件 已添加推流域名，详情请参见：添加加速域名。 已配置CNAME。 已开通媒体存储（请参见媒体存储的订购指引），并创建存储桶。 创建录制模板 1. 登录直播控制台。 2. 单击【功能配置】下方【直播录制】，进入【直播录制】配置页面。 3. 单击页面右上方【创建录制模板】。 参数 说明 模板名称 录制模板的名称。支持大小写字母、数字和特殊符号“”。 模板描述 针对该模板的相关描述。 录制格式 录制文件格式，支持将直播录制为HLS、FLV、MP4和AAC四种格式。 文件存储路径 媒体存储中存储录制文件的路径。 文件命名规则 录制文件的前缀。 存储ak 媒体存储的访问密钥。需先开通媒体存储服务，系统自动获取加密后的ak。 存储sk 媒体存储的访问密钥。需先开通媒体存储服务，系统自动获取加密后的sk。 存储访问域名（endpoint） 媒体存储的服务地址。 存储区域 媒体存储的资源区域信息。 存储bucket 媒体存储的bucket名称。 4. 单击【保存】，即完成模板的创建。创建后的模板名称会在页面中间列显示，如果想要修改或者删除模板，您可以单击页面右上方的编辑或者删除按钮。

您可以根据云主机的位置、用途、所有者等信息规划主机名，并使用主机名为云主机添加内网解析记录，便于直观的获取云主机的信息，更利于管理云主机。 例如，您在某区域的某个可用区部署了20台ECS，其中10台用于网站A，10台用于网站B，则可以采用以下方式规划主机名和内网域名： 网站A：weba01.region1.az1.com~weba10.region1.az1.com 网站B：webb01.region1.az1.com~webb10.region1.az1.com 完成上述规划后，可以帮助您快速定位云服务的位置和用途，便于日常管理和维护。 您可以参考快速入门章节完成云主机主机名管理的相关操作。

通过MCP Inspector访问MCP服务 说明 MCP Inspector 是专为MCP服务器设计的交互式调试工具，支持开发者通过多种方式快速测试与优化服务端功能。 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击概览，然后单击接入点，获取AI网关入口地址。 3. 安装Node.js环境。 4. 安装MCP Inspector，安装命令：npx kargnasmcpinspector@latest。 5. 通过浏览器登录MCP Inspector界面，如： 6. 配置连接信息，填写Transport Type、URL等信息。 7. 点击Connect进行连接，连接成功后可以获取MCP服务的所有工具。

本文帮助您了解如何使用对象存储列举文件的功能。 操作场景 ZOS桶中文件列表默认按照文件名称来列举文件。您可查看文件的名称、存储类型、更新时间、文件大小等信息。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台，点击Bucket名称进入“概览”页面。 5. 选择“文件管理”页签，当前页面将分页显示桶内的所有文件夹和文件。