本文介绍使用天翼云SDWAN产品时常见的操作类问题。 天翼云SDWAN产品在使用时有什么使用条件及接入要求？ 在开通天翼云SDWAN服务之前，请您确保本地业务具备互联网访问能力；请提前做好企业总部/分支网络与云上各资源池网络之间的IP地址规划，尽量保证各站点内网IP地址没有重叠； 如果您的业务网段IP地址冲突无法避免，您也可以正常将设备接入天翼云SDWAN。需注意，在网段有冲突的情况下，在配置组网或者入云时，请提前做好NAT地址转换，NAT转换操作详见： 有自服务的操作界面么？ 天翼云SDWAN资源通过中国电信天翼云提供的统一服务界面进行管理。天翼云SDWAN产品的控制台地址为 /sdwan/dashbord。 天翼云SDWAN产品无资源池差别，您可以选择从任意资源池进入到该控制页面。 开通天翼云SDWAN服务后，控制台会生成对应的实例资源，您可以通过页面操作对资源进行不同的配置下发，比如：创建互联关系、配置路由规则、创建访问控制、ACL等。 天翼云SDWAN如何报障？ 天翼云SDWAN售后服务由天翼云SDWAN售后团队负责。客户报障有两种途径：1、拨打天翼云400售后服务电话，2、通过客户经理报障。 客户拨打热线电话（4008109889）报障： 1. 当客户通过电话报障时，天翼云400客服受理一线问题，填写工单，并将技术问题反馈到SDWAN运维团队客服； 2. SDWAN运维团队发起内部流程，处理问题； 3. 运维处理完客户故障，通知客户验收，结束报障处理。 通过客户经理报障： 1. 当客户联系客户经理时，客户经理也可直接联系天翼云SDWAN运维人员，SDWAN运维团队自行发起内部运维流程，处理客户问题； 2. SDWAN运维人员处理完客户故障后，反馈给客户经理处理结果。客户验收后，结束报障。

本文主要介绍弹性IP和带宽支持的监控指标。 功能说明 本节定义了弹性IP和带宽上报云监控服务CES的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控提供的管理控制台或API接口来检索资源产生的监控指标和告警信息。 说明 云监控服务CES最大支持4个层级维度，维度编号从0开始，编号3为最深层级。例如监控指标中的维度信息为“bandwidthid,publicipid”时，表示对应的监控指标的维度存在层级关系，且“bandwidthid”为0层，“publicipid”为1层。 带宽规格变更（带宽升降配）后，带宽规格数据在监控指标上生效有5~10min的时间延迟。 命名空间 弹性公网IP和带宽的命名空间：SYS.VPC 监控指标 表弹性IP和带宽支持的监控指标 指标ID 指标名称 指标含义 取值范围 进制 测量对象 监控周期（原始指标） upstreambandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 downstreambandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 upstreambandwidthusage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 downstreambandwidthusage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 upstream 出网流量 该指标用于统计测试对象出云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟 downstream 入网流量 该指标用于统计测试对象入云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟

输出变量声明 输出变量可在命令行上提供用户需要的信息，并可公开其他 Terraform 配置使用的信息。输出变量类似于编程语言中的返回值，是一种对外公开部分信息的方式。 输出变量有多种用途： 子模块可以使用输出将其资源属性的子集公开给父模块。 根模块可以在运行 terraform apply/output 后 在CLI上打印特定值。 按照约定，输出变量通过“output”关键字进行声明： java output "azname" { value data.ctyunzones.az.zones[0] } 关键字 output 后面紧跟的标签是 output 名称，它必须是有效的标识符。在根模块中，此名称显示给用户；在子模块中，它可用于访问输出的值。 参数 value 采用一个赋值表达式，将结果返回给用户。在本例中，该表达式指的是将data source ctyunzones中变量az.zones[0]输出。任何有效的表达式都可以作为输出值。 输出变量参数 output 块可以选择性地包含 description、sensitive 和 dependson 参数，这些内容将在以下章节中进行描述。 description：输出变量注释 sensitive：限制是否在CLI 上输出 dependson：明确输出依赖关系 java output "eipaddr" { value ctyuneip.eipexample.address description "EIP实例的公网地址" } output "dbpassword" { value ctyunmysqlinstance.mysqlexamples.password description "mysql实例的root密码" sensitive true } output "instanceipaddr" { value ctyuneip.eipexample.address description "EIP实例的公网地址" dependson [ ctyunsecuritygrouprule.sgruleexample, ] } 注意：标记为敏感项的输出变量在输出时会自动被隐藏，但其输出值仍然可以通过以下方式可见： 输出变量的值记录在 state 文件中，其值对所有能够访问state 文件的用户均可见. 子模块中敏感输出变量值被父模块调用，通过父模块的相关输出和资源引用后可以在CLI中显示。

为什么删除备份后存储库已用容量变化小？ 云服务备份的备份机制导致此类现象：删除存储库中多余的备份后，存储库已用容量变化量很小，仅减少了12G。 默认情况下，云服务备份对一个新的资源第一次进行全量备份，将备份资源已使用的数据块；后续进行永久增量备份，将备份上次备份之后变化的数据块。 每个增量备份都是一个虚拟的全量备份，多次备份后多个备份间有依赖关系的数据块以指针索引的方式引用。 删除某个备份数据（手动删除或者自动过期）时，仅删除它没有被其他备份数据所依赖的数据块。 什么是全量备份和增量备份？ 默认情况下，对一个新的资源第一次进行全量备份，后续进行永久增量备份。如果该资源已进行过多次备份，并将所有备份删除后，再执行备份，则该次备份也默认为第一次全量备份。 第一次全量备份，备份磁盘的已用空间（非磁盘总空间）。例如一个100GB的磁盘，共写入40GB数据，则备份40GB。 后续增量备份，备份磁盘相比上一次备份后变化的空间。例如首次备份后新产生或变化了5GB数据，则第二次备份5GB。 云服务备份支持从任意一个备份恢复资源的全量数据，不管这个备份是全量还是增量。因此，当某一个备份被人为删除或过期自动删除后，不会影响使用其他增量备份恢复数据。 举例：云主机X按时间顺序先后生成A、B、C三个备份，每个备份都存在数据更新。当备份B被删除后，备份A和备份C还是可以继续用于数据恢复。或者当备份A、备份B都被删除，只有备份C依然可以用于数据恢复。 云服务备份现支持在资源非第一次备份的情况下定期进行全量备份，该特性为周期性全量备份特性，详情可参考[如何对资源进行周期性全备？](

原路提现 1. 登录天翼云网，点击管理中心， 在总览页面选择“提现” 。 2. 单击“可原路提现金额”右侧的“立即提现”。 3. 设置提现金额，单击“下一步”。 4. 通过验证身份后，原路提现申请提交成功。 5. 系统自动发起原路退款，可原路退款金额实时到账 。在线充值 （微信、翼支付、支付宝）优先原路退回 ；若失败，转为 银行卡提现或退回余额。 说明 系统默认根据现金账户后进先出的原则进行提现，即根据多个充值流水的处理顺序，按照充值时间，后充值的金额先提取。 手机验证时，默认会发送验证码至您的天翼云账号绑定的手机号下，如果您需要变更该手机号，您可以在管理中心账号中心安全设置处进行变更。 银行卡提现 1. 登录天翼云网，点击管理中心， 在总览页面选择“提现” 。 2. 单击“可银行卡提现金额”右侧的“立即提现”。 3. 选择提现流水 4. 点击“提现”发起银行卡提现，补充银行卡信息、提交相关资料(原支付凭证等)，然后点击“下一步”，进行身份验证，确认后银行卡提现申请提交成功。款项将通过线下打款方式退至您提供的银行卡，自银行卡提现申请成功后1015个工作日内完成退款（(银行卡信息需完整且准确无误)。 注意 为保障您的资金安全， 银行卡提现只能提现至与实名认证信息同名的银行账号。企业实名认证用户如确因实际原因需提现至非同名的银行账号，需通过“银行卡提现其他附加材料”上传加盖公司公章的证明，证明企业与提现账号的关系。

本小节介绍日志审计(原生版)产品优势。 一站式审计 具备日志采集范围广、检索速度快、审计分析维度深、数据展示视图全、风险报表模板多、响应处置效率高等一站式日志审计功能。 强大的关联分析能力，可以让安全运维人员从几十分钟甚至小时级别的日志审计溯源耗时缩小到分钟级别，甚至秒级，大大提升安全审计效率。 搜索引擎是针对日志所设计的架构，比通用的ES搜索引擎更安全，效率更高，稳定性更好，还可节省一半硬件资源。 满足等保合规 符合国家等级保护制度中对于安全审计的技术要求，具备完整的日志审计分析报告，满足用户多样化报表和监管要求。 通过统一数据采集，统一数据备份，满足企业合规要求，如中国电信《中国电信云运〔2021〕58号》。 满足《网络安全法》对日志审计要求，满足等级保护二级，三级对日志的相关要求。 便捷部署 为用户提供开箱即用的自动化配置、更新和管理功能，减少了人工干预和操作的需要，降低了用户在部署和配置方面的难度。 通过自动化配置、更新和管理功能，用户可以快速设置和调整系统，无需手动进行繁琐的配置过程。这大大简化了系统的部署和配置过程，并减少了人为错误的可能性。 确保部署流程简单高效，减少人工干预，提高管理工作效率，降低运维工作负担，让安全运维部署工作效益上升一个台阶。

本节介绍虚拟电教室在使用过程中的常见问题 虚拟电子教室功能如何开通，是否收费？ 虚拟电子教室功能目前可免费开通。用户可在天翼云电脑（政企版）控制台>行业解决方案>虚拟电教室页面进行创建。 教师机和学生机设备支持同时能加入多个虚拟教室吗？ 不支持，同一个教师机或学生机只允许加入一个虚拟教室。需解绑后才能加入其他虚拟教室。 虚拟电子教室功能与其他电子教室管理软件能否混合使用？ 大部分电子教室管理软件是基于物理机环境开发的，由于云电脑虚拟机环境的特殊性，部分电子教室管理软件功能在进行管控时可能会有一些报错。通过虚拟电子教室功能在注册绑定环节会将虚拟机和物理机做关联绑定后，相关上课下课、广播功能会更加准确，推荐使用虚拟电子教室功能进行管控。其他类似举手、考试等互动功能，可以使用电子教室管理软件。 教师机无法批量控制学生机终端(唤醒)开机？ 检查学生机终端上报IP、MAC是否正常。 检查终端是否支持WOL网络唤醒，终端是否为有线连接。 教师机使用上课、下课功能正常，但开启广播优化失效，怎么解决？ 检查教师机桌面是否为GPU桌面，目前GPU桌面还在适配中。 检查同一局域网内是否有多个教师机，如果有，尝试只保留一个教师机。 检查是否有相似的第三方电教室应用，尝试关闭该应用。 尝试教师机和学生机重新进入桌面或重启，查看是否能恢复。

本节介绍服务器安全卫士（原生版）应用场景。 场景一：入侵行为检测 实时监测发现云服务器的漏洞、异常登录、暴力破解、弱口令等问题，全面了解服务器的安全状态，实现服务器安全的持续保护。 方案优势 提供异常登录、暴力破解的告警和防御，可以快速地发现黑客对企业服务器的渗透扫描行为，及时预警。 提供病毒查杀能力，有效检出恶意病毒文件，并提供病毒文件隔离和删除功能。 场景二：安全管理 提供统一的服务器安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 方案优势 支持多操作系统：支持在Windows、CentOS、Ubuntu等多种操作系统的物理/虚拟主机上部署。 统一的安全管理能力：帮助用户统一查看所有的服务器资产、资产指纹以及安全事件，便于精细化安全运营。 场景三：等保合规 服务器安全是等保合规的关键项，服务器安全卫士提供的入侵检测功能，能协助各企业保护企业云服务器账户、系统的安全。 方案优势 满足入侵防范条款：入侵检测、漏洞管理功能满足等保的主机入侵防范条款。 满足不同行业监管要求：基于基线检测功能，提供多种基线标准模板，企业可自定义基线策略，支持一键检测和定时检测，根据检测结果提供处理建议。

本章节介绍微服务治理中心管理类常见问题 什么是实例数？ 实例数指的是接入微服务治理中心的进程个数，通过MseAgent启动一个Java进程，则可以认为是一个实例数。无论是资源包还是按量计费，都是以接入微服务治理中心的实例数为统计单位。 应用数、实例数和服务数三者的区别是什么？ 应用与实例是一对多的关系，一个应用可以部署多个实例。服务数指的是应用作为提供者，在注册中心注册的服务，对于SpringCloud框架的应用，由于提供的是http服务，所以一个应用的SpringCloud服务数一般为1，对于Dubbo框架的应用，由于提供的是dubbo服务，一个接口即可理解为一个服务，所以一个应用的Dubbo服务数可以为n。 金丝雀发布、标签路由和全链路灰度有什么区别？ 金丝雀发布、标签路由和全链路灰度都可以将流量通过请求参数路由到指定的打标应用上。三者区别主要在使用场景上面不同，金丝雀发布主要应用在应用发布上，当应用需要更新时，可以通过金丝雀发布的功能，将小流量引入到新版本的服务，等功能验证成功后，再全量发布；标签路由可以作为一个基础能力，用户可以在此功能上拓展，更加灵活的控制流量路由；全链路灰度主要应用在多版本研发、多版本迭代的场景上，与金丝雀发布和标签路由不同的是，全链路灰度作用于多个应用，而金丝雀发布和标签路由主要作用于单个应用。 无损上下线没有生效？ 无损上线：首先检查使用的微服务框架是否是SpringCloud或Dubbo框架，其次检查提供者和消费者是否都已经正常接入了微服务治理中心。再检查延迟注册时间是否合适，是否已经超过延迟注册的时间。 无损下线：首先检查使用的微服务框架是否是SpringCloud或Dubbo框架，其次检查提供者和消费者是否都已经正常接入了微服务治理中心。再检查服务下线时是否使用的非kill 9命令。

多层级资源管理指的是在训推平台内,可以通过工作空间能力+账号权限体系,匹配客户自身组织层级结构,实现多层级资源管理,进行AI作业。通过对客户组织层级的调研,客户使用训推平台大致有如下几种组织层级,请各客户根据自身实际情况来进行多层级资源管理。 一、 扁平化组织 扁平化组织是以各个AI项目为核心，直接由管理员进行工作空间创建，资源配额创建，然后让具体项目成员加入工作空间进行AI作业。其对应关系如下图： 管理员：对应客户内部负责管理该训推业务的负责人，将其账号赋予“admin”用户组(即管理员角色)，其将拥有平台全部权限(参见《准备工作章节》)。训推平台引入了“工作空间”概念，即使用训推平台进行AI作业时，需要在工作空间内进行，在空间内，项目所有成员之间,数据、资源共享，各个空间之间数据和资源是互相隔离的。故需要由管理员为各个需要使用训推平台的项目创建其对应的工作空间和资源配额，管理员可以设置项目负责人为此工作空间的管理员，项目负责人(工作空间管理员)可以将项目其他成员添加进工作空间，并赋予其工作空间内的角色(如算法开发、运维角色)，若管理员未给工作空间添加资源配额，则项目负责人(工作空间管理员)可以自己为工作空间添加资源配额(只有为工作空间添加资源配额后，工作空间成员在进行AI作业时才能正常使用资源)，此时工作空间成员可以基于工作空间关联的资源配额进行AI作业，如模型开发、模型训练，推理部署等。工作空间的创建、工作空间成员的添加、以及为工作空间添加资源配额详见《工作空间章节》，资源配额的创建详见《资源配额章节》。

查看备份详情 在备份任务列表中，点击备份名称，进入备份详情页面。 在备份详情页面中，同样可以对当前备份任务执行还原、下载备份包和删除操作： 备份页面展示了当前备份任务的任务名称、备份时筛选的资源类型、是否包含持久卷、备份任务创建时间、备份包的大小和备份任务的状态这些这些信息。 此外如果曾经以当前备份任务的备份包执行了还原，还原记录会展示在界面下方的“相关还原记录”中。 执行还原 在集群备份的列表或者备份详情页都可以执行还原操作，点击还原会弹出还原任务的创建页面。 配置项名称 说明 名称 必填，还原任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且还原任务是当前集群中唯一。 重定义命名空间 选填，可以将备份包中指定命名空间的资源还原到目标命名空间中。 数据清洗 选填，此属于高级选项，可对导入资源的Annotation和Lable值进行增删替换操作。 数据清洗配置项说明： 配置项名称 说明 命名空间 选填，可输入多个命名空间，多个用‘,’分隔，按照源命名空间进行筛选，符合条件的资源会执行数据清洗操作。 资源类型 选填，可输入多个资源类型，即资源的kind字段，多个用‘,’分隔，符合条件的资源会执行数据清洗操作。 标签选择器 选填，输入k8s的标签选择器语句，可根据该选择条件进行资源筛选,符合条件的资源会执行数据清洗操作。 操作 必填，可输入多个操作内容，可以新增、删除或者替换资源中的annotation和label。 配置完成后点击“导入”开始执行还原操作。 在备份任务详情页面的“相关还原记录”列表中，可查看还原任务的执行情况。可展示还原任务的名称、源目标命名空间的映射关系、任务执行状态和还原任务的创建日期。

目录管理 点击每个目录层级后方的【新建目录】按钮，可在该目录下创建子目录。 说明 行政区划模式下，根据其模式的特性在创建目录时存在以下限制： 子目录创建层级最多仅支持创建到5级子目录，对应（省、市、区、基层、行业），其中创建4、5级目录时需自行填写目录国标ID。 各目录层级有严格的行政区划归属关系，创建子目录时，所属区域仅支持选择当前父目录的下层行政区划，即：无法在行政区划为“上海市”的父目录下，创建行政区划为“北京市”的子目录。 同级无法创建2个及以上所属区域相同的目录，即：父目录所属区域为“上海市”时，子目录无法创建2个所属区域为“徐汇区”的目录。 子目录支持【编辑】、【删除】（连同目录下属设备移除）操作，根目录支持【删除】（一键清空全量的设备与子目录）。 说明 行政区划模式下，不支持编辑目录的所属区域。 设备管理 在行政区划模式下，左侧系统树上方提供了筛选功能，并且支持以下两种方式构建行政区划组织树： 批量勾选左侧列表中的设备，并拖拽至右侧行政区划组织树下，该模式下拖拽不会携带原目录结构（可在右侧列表中手动拖拽设备至任意目录下）。 批量勾选左侧列表中的设备，点击【一键导入】，可以按照设备所属区域自动归并至右侧行政区域组织树的对应目录下。若行政区划组织树中无该所属区域的目录，将会自动创建目录后再对设备进行归并。 在右侧的行政区划组织树中，可对目录/设备进行拖拽排序。完成行政区划组织树的创建/编辑后，点击【提交】按钮即与平台绑定，可结束当前流程返回首页平台列表，也可按顶部流程指导，点击【继续】按钮进入第三步【向上级联自定义级联国标ID】，自定义设备树的级联国标ID。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b name 是 String 规则名 告警规则示例 service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs conditions 是 Array of Objects 具体告警匹配策略 condition desc 否 String 规则描述 规则描述 repeatTimes 否 Integer 重复告警通知次数，默认为0 0 silenceTime 否 Integer 告警接收策略静默时间，多久重复通知一次，单位：秒 300 recoverNotify 否 Integer 本参数表示恢复是否通知。默认值0。取值范围：0：否。1：是。根据以上范围取值。 0 notifyType 否 Array of Strings 本参数表示告警接收策略。取值范围：email：邮件告警。sms：短信告警。根据以上范围取值。 ['email','sms'] contactGroupList 否 Array of Strings 告警联系组 ['fe7f0cdc469255168d3ab06355482090'] notifyWeekdays 否 Array of Integers 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围：0：周日。1：周一。2：周二。3：周三。4：周四。5：周五。6：周六。根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart 否 String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd 否 String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl 否 Array of Strings webhook消息推送url ['www.ctyun.cn'] resGroupID 否 String 资源分组ID，与resources字段互斥。 1.以资源分组为资源对象的告警规则，不需要传入resources。2.非资源分组为资源对象的告警规则，resources为必填项。 eec4a76a35ba57b891c6c4fd923351d6 resources 是 Array of Objects 具体告警匹配资源 resources projectID 否 String 项目ID 0 conditionType 否 Integer 本参数表示告警策略触发类型。默认值0。取值范围：0：或，任一条件触发。1：全部条件满足触发。根据以上范围取值。 0 0

本文介绍Kafka业务数据不均衡最佳实践 方案概述 Kafka将Topic划分为多个分区，所有消息分布式存储在各个分区上。每个分区有一个或多个副本，分布在不同的Broker节点上，每个副本存储一份全量数据，副本之间的消息数据保持同步。Kafka的Topic、分区、副本和代理的关系如下图所示： 在实际业务过程中可能会遇到各节点间或分区之间业务数据不均衡的情况，业务数据不均衡会降低Kafka集群的性能，降低资源使用率。 业务数据不均衡原因： 业务中部分Topic的流量远大于其他Topic，会导致节点间的数据不均衡。 生产者发送消息时指定了分区，未指定的分区没有消息，会导致分区间的数据不均衡。 生产者发送消息时指定了消息Key，按照对应的Key发送消息至对应的分区，会导致分区间的数据不均衡。 系统重新实现了分区分配策略，但策略逻辑有问题，会导致分区间的数据不均衡。 Kafka扩容了Broker节点，新增的节点没有分配分区，会导致节点间的数据不均衡。 业务使用过程中随着集群状态的变化，多少会发生一些Leader副本的切换或迁移，会导致个别Broker节点上的数据更多，从而导致节点间的数据不均衡。 实施步骤 业务数据不均衡的处理措施： 优化业务中Topic的设计，对于数据量特别大的Topic，可对业务数据做进一步的细分，并分配到不同的Topic上。 生产者生产消息时，尽量把消息均衡发送到不同的分区上，确保分区间的数据均衡。 创建Topic时，使分区的Leader副本分散到各个Broker节点中，以保障整体的数据均衡。 Kafka提供了分区重平衡的功能，可以把分区的副本重新分配到不同的Broker节点上，解决节点间负载不均衡的问题。具体分区重平衡的操作请参考修改分区平衡。

本文介绍UA黑白名单功能及使用建议。 功能介绍 UserAgent（简称UA）是HTTP请求头的一部分，包含用户访问时所使用的操作系统及版本、浏览器类型及版本等标识信息，因此UserAgent是访客身份的象征，标志访客访问时所使用的工具，通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 UserAgent白名单：用于配置允许用户使用的访问工具，UA白名单之外的访问工具全部拒绝访问（节点响应403），UA白名单之内的访问工具全部允许访问。 UserAgent黑名单：用于配置禁止用户使用的访问工具，UA黑名单之外的访问工具全部允许访问，UA黑名单之内的访问工具全部拒绝访问（节点响应403）。 注意事项 1. UA黑名单与UA白名单只能二选一，不可同时配置，为互斥关系。 2. 如果用户请求中携带的UserAgent字段的值命中UserAgent黑名单中的值，则该请求仍可访问到CDN加速节点，但是会被CDN加速节点拒绝并返回403状态码。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【UA黑白名单】模块，开启功能。 6. 根据需求配置是否忽略大小写，默认开启。 7. 设置匹配方式，选择正则或者通配符，默认使用正则表达式匹配。 8. 设置类型，选择【白名单】或【黑名单】，使用换行符分隔。 9. 单击【保存】，完成配置。 参数名 说明 忽略大小写 默认开启，即忽略大小写匹配UA名单，可配置关闭。 匹配方式 默认使用正则表达式匹配，可配置使用通配符匹配。 类型 可选择配置白名单或者黑名单，二选一。 黑名单：黑名单内的UA无法访问资源。 白名单：只有白名单内的UA可以访问资源。

本章节主要介绍如何修改主机信息。 操作场景 主机信息用于配置主机的IP与域名的映射关系，在作业配置时只需使用配置的域名即可访问对应的主机。在跨源连接创建完成后，支持修改主机信息。 常见的访问MRS的HBase集群时需要配置实例的主机名（即域名）与主机对应的IP地址。 约束限制 已获取MRS主机信息。请参考下方“怎样获取MRS主机信息?”。 修改主机信息 1. 登录DLI管理控制台。 2. 在左侧导航栏中，选择“跨源管理 > 增强型跨源 ”。 3. 选择待修改的增强型跨源连接，单击操作列的“更多 > 修改主机信息”。 4. 在修改主机信息对话框中，填写已获取的主机信息。 主机信息格式：hostIP hostName。多个主机信息以换行分隔。 样例： 192.168.0.22 nodemasterxxx1.1com 192.168.0.23 nodemasterxxx2.1com 获取MRS主机信息请参考下方“怎样获取MRS主机信息?” 5. 单击“确定”，完成主机信息的修改。 怎样获取MRS主机信息? 方法一：在管理控制台查看MRS主机信息 获取MRS集群主机名与IP地址，以MRS3.x集群为例，步骤如下： a. 登录MRS管理控制台页面。 b. 单击“集群列表 > 现有集群”，在集群列表中单击指定的集群名称，进入集群信息页面。 c. 选择“组件管理”页签； d. 单击进入“Zookeeper”服务； e. 选择“实例”页签，可以查看对应业务IP，可选择任意一个业务IP。 f. 参考上方“修改主机信息”修改主机信息。 说明 如果MapReduce服务集群存在多个IP，创建跨源连接时填写其中任意一个业务IP即可。 方法二：通过MRS 节点的“/etc/hosts ”信息获取MRS主机信息 a. 以root用户登录MRS的任意一个主机节点。 b. 执行以下命令获取MRS对应主机节点的hosts信息，复制保存。 cat /etc/hosts 获取hosts信息 c. 参考上方“修改主机信息”修改主机信息。

本章节主要介绍ALM18019 JobHistoryServer非堆内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测MapReduce JobHistoryServer非堆内存使用率，并把实际的MapReduce JobHistoryServer非堆内存使用率和阈值相比较。当MapReduce JobHistoryServer非堆内存使用率超出阈值（默认为最大非堆内存的90%）时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > MapReduce”修改阈值。 当MapReduce JobHistoryServer非堆内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18019 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 MapReduce JobHistoryServer非堆内存使用率过高，会影响MapReduce任务提交和运行的性能，甚至造成内存溢出导致MapReduce服务不可用。 可能原因 该节点MapReduce JobHistoryServer实例非堆内存使用量过大，或分配的非堆内存不合理，导致使用量超过阈值。 处理步骤 检查非堆内存使用量 1.在FusionInsight Manager界面，选择“运维 > 告警 > 告警 > ALM18019 MapReduce JobHistoryServer非堆内存使用率超过阈值定位信息”。查看告警上报的实例的主机名。 2.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 实例 > JobHistoryServer（对应上报告警实例主机名）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“JobHistoryServer非堆内存使用百分比统计”。查看非堆内存使用情况。 3.查看JobHistoryServer使用的非堆内存是否已达到JobHistoryServer设定的最大非堆内存的90%。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 配置 > 全部配置 > JobHistoryServer > 系统”。对NodeManager 的内存参数“GCOPTS”进行调整，并单击“保存”，单击“确定”进行重启。 说明 历史任务数10000和JobHistoryServer内存的对应关系如下： Xms30G Xmx30G XX:NewSize1G XX:MaxNewSize2G 5.观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

业务端口被Agent占用该如何处理？ 云监控服务的Agent插件会使用HTTP请求上报数据，使用过程中会随机占用动态端口，范围取自/proc/sys/net/ipv4/iplocalportrange。若发现使用的业务端口与Agent使用的端口冲突，可以修改/proc/sys/net/ipv4/iplocalportrange，并重启Agent解决此问题。 操作步骤 1. 使用root用户登录ECS或BMS。 2. 执行如下命令，打开sysctl.conf文件。 vim /etc/sysctl.conf 3. （永久修改）在sysctl.conf文件添加新的端口配置。 net.ipv4.iplocalportrange49152 65536 4. 执行如下命令，使修改生效。 sysctl p /etc/sysctl.conf 说明 永久性修改，重启ECS或BMS后依旧生效。若要临时修改（重启ECS或BMS后失效），请执行 echo 49152 65536 > /proc/sys/net/ipv4/iplocalportrange 5. 请执行如下命令，重启Agent。 /usr/local/telescope/telescoped restart 说明 Windows系统下：在Agent安装包存放目录下，先双击执行shutdown.bat脚本，停止Agent，再执行start.bat脚本，启动Agent。 如何创建委托？ 操作场景 通过创建委托，可以让Agent自动获取用户的访问密钥，从而不需要把密钥（AK/SK）暴露在配置文件中。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 在服务列表中选择“统一身份认证服务”。 4. 选择“委托 > 创建委托”，进入创建委托页面。 参照下表，完成创建委托页面参数填写。 表 创建委托 名称 说明 委托名称 标识该委托代理的名称。 样例：CESAgentAutoConfigAgency 委托类型 选择“云服务”。 云服务 选择“弹性云主机ECS物理机BMS”。 持续时间 选择永久。 描述 可选参数，用于补充说明该委托代理的详细信息。 5. 在“权限选择”区域，单击当前region所在行的“修改”，弹出权限选的“策略”页面。 6. 在左侧“可选择的策略”搜索框中输入“CES”，在查找结果中选择“CES”及“CES Administrator”。 7. 单击页面下方的“确定”按钮，委托关系创建成功。

云堡垒机支持哪些登录资源方式？ 云堡垒机支持设置“自动登录”、“手动登录”或“提权登录”三种登录方式访问目标资源，此外还支持批量登录资源功能。 自动登录 在新建资源时选择“自动登录”方式，并配置资源账户名和密码，托管主机或应用资源的账户和密码。 运维人员访问资源时，无需输入资源的账户和密码，在“主机运维”或“应用运维”页面单击“登录”，即可成功自动登录到目标资源实现运维。 Edge类型应用资源不支持配置“自动登录”。 SSH协议类型主机资源配置SSH Key后，需优先使用SSH Key登录。 手动登录 在新建资源时选择“手动登录”方式或选择“以后添加”账户，生成“[Empty]”资源账户，即未配置主机或应用账户名和密码。 运维人员访问资源时，需要输入主机或应用的账户名和相应密码登录资源。 提权登录 纳管资源创建了“特权账户”，普通资源账户可设置提权登录。 运维人员访问资源时，通过普通资源账户登录，将自动切换到提权的资源账户，此时普通资源账户可拥有提权后账户的访问操作权限。 批量登录 在“主机运维”页面，运维人员可以选择多个主机资源，单击左下方“批量登录”，在一个运维页面登录多个不同协议类型主机资源，并可以在一个运维页面切换资源，方便运维人员运维操作，提高运维效率。 “批量登录”不支持登录FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型主机资源，以及配置了“手动登录”或“双人授权账户”的主机资源。 如何创建运维协同会话？ 云堡垒机系统Web运维“协同分享”功能，支持通过分享URL，邀请系统其他用户共同查看同一会话，并且参与者在会话控制者批准的前提下可对会话进行操作，可应用于远程演示、对运维疑难问题“会诊”等场景。 创建协同分享前，需确保云堡垒机与资源主机网络连接正常，否则受邀用户无法加入会话，且邀请人会话界面上报连接错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T514）”。 邀请URL链接可复制发送给多个用户，拥有该资源账户策略权限的用户才能正常打开链接。 受邀用户需在链接有效期前或会话结束前才能有效加入会话。

Web应用防火墙（独享版）支持防护标准端口和非标端口。您在网站接入配置中添加防护网站对应的业务端口，WAF将通过您设置的业务端口为网站提供流量的接入与转发服务。本文介绍WAF支持防护的标准端口和非标端口。 Web应用防火墙可防护的端口如表所示。 端口分类 HTTP协议 HTTPS协议 端口防护限制数 标准端口 80 443 不限制 非标准端口（182个） 9945, 9770, 81, 82, 83, 84, 88, 89, 800, 808, 1000, 1090, 3128, 3333, 3501, 3601, 4444, 5000, 5222, 5555, 5601, 6001, 6666, 6788, 6789, 6842, 6868, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7081, 7082, 7083, 7088, 7097, 7777, 7800, 7979, 8000, 8001, 8002, 8003, 8008, 8009, 8010, 8020, 8021, 8022, 8025, 8026, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8334, 8336, 8800, 8686, 8888, 8889, 8989, 8999, 9000, 9001, 9002, 9003, 9080, 9200, 9802, 10000, 10001, 10080, 12601, 86, 9021, 9023, 9027, 9037, 9081, 9082, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 48800, 87, 97, 7510, 9180, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 28080, 33702, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8070 8750, 8445, 18010, 4443, 5443, 6443, 7443, 8081, 8082, 8083, 8084, 8443, 8843, 9443, 8553, 8663, 9553, 9663, 18110, 18381, 18980, 28443, 18443, 8033, 18000, 19000, 7072, 7073, 8803, 8804, 8805, 9999 不限制

通过本接口可在点播模式下创建一个视频条目。 接口功能介绍 注意 本接口适用于2026年3月13日之后开通的新增客户。在此之前开通的存量客户，如已使用旧版API或者旧版SDK开发业务的，可继续沿用旧接口和SDK，也可视自身情况迁移至新接口。 通过本接口可在点播模式下创建一个视频条目。 上传原理概述 视频文件的创建、存储需要分3步来进行。 步骤1：初始化上传，在此步骤需要将所有的业务管理信息发送到云点播服务中创建视频文件接口，接口成功之后会返回分片上传的地址列表，如后文的响应示例所示。 调用了该接口但未调用完成上传视频接口，系统会在数据库中存入这些业务信息（以及一些中间信息，例如uploadId），但由于这条视频信息还处于 UPLOADING的状态，除了删除视频外的其他接口，均不会对这些视频造成影响。例如在提交任务接口中，甚至会返回找不到该视频的错误。 步骤2： 将视频文件片上传到步骤1返回的URL列表中。 将完整的视频按照步骤1约定的大小进行切片，然后将片段按照顺序使用 data.uploadUrls 中返回的预签名 URL 通过PUT方法上传到服务器。JAVA版原理示例如下，用户可结合自己的开发语言自行实现。signature签名已在步骤1中提供，如果过期可以参考签名应用及示例中SHELL示例重签。 java File localVideoFile new File("fullFilePath"); // 从第一步初始化分片获取各个分片上传预签名链接 // 例如 List partPresignedUrlList; // 分片大小示例为5M int partSize 5 1024 1024; // 存放每个分片上传成功后的etag List partEtags new LinkedList<>(); // 从第一片开始 int partNumber 1; // 实例化一个OkHttpClient OkHttpClient okHttpClient buildOkHttpClient(); // 依次读取、上传各个分片字节流 try (FileInputStream fin new FileInputStream(localVideoFile); FileChannel channel fin.getChannel()) { ByteBuffer buffer ByteBuffer.allocate(partSize); byte[] partContent new byte[partSize]; int partLength 0; while ((partLength (channel.read(buffer))) ! 1) { String partPresignedUrl partPresignedUrlList.get(partNumber 1); // 读取第partNumber片字节流 ((Buffer) buffer).flip(); buffer.get(partContent, 0, partLength); // 上传第partNumber片字节流 RequestBody body RequestBody.create(partContent, null, 0, partLength); Request req new Request.Builder().url(partPresignedUrl).put(body).build(); int uploadRetryCount 0; while (uploadRetryCount < 3) { try (Response response okHttpClient.newCall(req).execute()) { if (response.isSuccessful()) { log.info("Put part to [{}] successfully!", partPresignedUrl); partEtags.add(response.header("etag")); break; } log.error("put part to [{}] failed,failed code is {}, error:{}", partPresignedUrl, response.code(), response.body().string()); uploadRetryCount++; log.info("Retry to put part to [{}] again!", partPresignedUrl); } catch (Exception ex) { log.error("put part to [{}] failed:", partPresignedUrl, ex); uploadRetryCount++; log.info("Retry to put part to [{}] again!", partPresignedUrl); } } // 清空缓存区 ((Buffer) buffer).clear(); } } 步骤3：调用云点播服务完成上传视频接口完成本次上传。步骤2每次上传成功之后，需要记录请求 Response 中的 eTag 头部信息，在步骤3完成上传视频的接口参数中传入该参数。

本节介绍数据缓存亲和性调度。 Fluid提供了数据缓存亲和性调度优化能力，根据数据集排布的Pod调度策略，支持通过webhook机制将调度信息注入到业务Pod中，从而实现将业务Pod优先调度到有数据缓存能力的节点。 在智算场景下，创建训练任务指定数据集时，通过调度优化策略将训练任务优先调度到缓存数据节点，可以提高数据同节点访问概率，获取最大程度访问效率。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 已创建数据集并开启加速。 数据集加速状态为已加速或已预热。 功能介绍 基于Mutating Webhook机制，Fluid可以在 业务Pod 创建时拦截，检测是否使用 Fluid PVC，从而为应用Pod注入所需数据缓存的亲和性信息（fluid.io/s{namespace}{dataset}）。当Kubernetes调度器调度应用Pod时，可以优先选择有缓存数据的节点。 注意 如果应用Pod在spec.affinity或spec.nodeSelector中自定义了与fluid调度相关的亲和性信息，此时以应用Pod自身配置为准，Fluid不会注入相关的亲和性调度配置信息。 操作步骤 1、创建数据集并开启数据加速 2、训练任务使用加速数据集 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用列表 > 离线训练 > 创建AI应用； 进入离线训练应用创建页面，在“基本信息”栏添加标签： 标签名为：fuse.serverful.fluid.io/inject 标签值为：true 进入离线训练应用创建页面，进行相关信息配置，详细参考创建训练任务； 配置训练数据： 点击“选择数据集”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 点击“选择数据集版本”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 继续其他配置，完成训练应用创建。 查看训练任务调度信息 进入主菜单 > 工作负载 > 容器组，查看训练任务pod对应的yaml信息，已经注入缓存节点调度信息： 进入主菜单 > 工作负载 > 容器组，可以看到训练任务pod 所在节点与fluid数据节点一致。

本节主要介绍通过kubectl对接多个集群。 使用场景 客户想使用同一个kubectl客户端工具，通过切换当前用户的方式达到切换集群的效果。 图 kubectl对接多集群示意 配置前提 kubectl命令客户端工具所在的ECS云主机，能够curl通集群A和集群B的vip地址+5443端口。 以下配置仅供参考，为了方便，直接在A集群的一个节点作为客户端（节点绑定了EIP）。 为了方便访问，给B集群的VIP地址绑定了公网IP（假设为：1.2.3.4），理论上如果A、B在同一VPC，可以不这样操作。 客户端配置对A的访问 直接参考《CCE用户指南》中的“通过kubectl连接CCE集群”。 客户端上配置对B的访问 我们要用访问B的集群，要知道B的地址，还要带上认证去访问，那么必须要把相应的信息补齐。 步骤如下： 步骤 1 录入B集群的集群信息 kubectl config setcluster clusterk8s server insecureskiptlsverifytrue insecureskiptlsverifytrue这个参数一定要带上，这是忽略校验客户端证书 步骤 2 录入去B集群的认证信息 首先在B上操作： 方式一：将B集群的证书传入到客服端使用，在客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin clientcertificateclient.crt embedcertstrue 方式二：在集群B上获取认证token 1.创建一个sa用户 kubectl create sa mysa 2.给sa用户授权 kubectl create clusterrolebinding myrolebinding serviceaccountdefault:mysa clusterroleclusteradmin 3.获取用户的token kubectl describe secret mysatokenxxx awk '/token:/{print $2}' > token 将获取的token传入到客户端。 4.客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin token$token 步骤 3将集群B的上下文详细信息添加到配置文件中 kubectl config setcontext uiadmin@cyd clusterclusterk8s useruiadmin 此时在客户端上： Kubectl config usecontext internal 切换到集群A Kubectl config usecontext uiadmin@cyd 切换到集群B 步骤 4验证配置 其他情况： 如果配置完报X509错误，应该是忘记传入参数 insecureskiptlsverifytrue 可在使用时带上该参数即可，例如：kubectl get pod insecureskiptlsverifytrue

本章节主要介绍ALM45426 ClickHouse服务在ZooKeeper的数量配额使用率超过阈值的告警。 告警解释 告警模块按60秒周期检测ClickHouse服务在ZooKeeper的数量配额使用百分比，当检测到使用百分比超过阈值（90%），系统产生此告警。 当系统检测到使用百分比低于阈值，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45426 重要（默认级别） 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称 服务名 产生告警的服务名称 角色名 产生告警的角色名称 主机名 产生告警的主机名 对系统的影响 ClickHouse在ZooKeeper的数量配额超过阈值后，无法通过FusionInsight Manager对ClickHouse进行集群操作，无法使用ClickHouse服务功能。 可能原因 ClickHouse在使用过程中，如表创建、插入或删除表数据等操作时，ClickHouse会在ZooKeeper的节点中创建znode，随着业务量的增加该znode实际数量可能会超过配置的阈值。 处理步骤 检查ClickHouse在ZooKeeper的znode节点创建数量 登录ZooKeeper客户端所在主机节点，执行以下命令登录ZooKeeper客户端工具。 切换到客户端安装目录。 例如：cd /opt/client 执行以下命令配置环境变量。 source bigdataenv 执行以下命令进行用户认证。(普通模式跳过此步骤) kinit 组件业务用户 执行以下命令登录客户端工具。 zkCli.sh server ZooKeeper 角色实例所在节点业务IP : ClientPort 1. 执行如下命令查看ZooKeeper上ClickHouse使用的配额情况，计算返回的结果中Output stat的count值与Output quota的count值之比是否大于0.9。 listquota /clickhouse absolute path is /zookeeper/quota/clickhouse Output quota for /clickhouse count 200000,bytes1000000000 Output stat for /clickhouse count 2667,bytes60063 如上，Output stat对应的count为：2667，Output quota的count为：200000。 是，执行步骤4。 否，等待五分钟查看告警是否清除，如果还没有清除请执行步骤5。 2. 在FusionInsight Manager首页，选择“集群 > 服务 > ClickHouse > 配置 > 全部配置”，搜索“clickhouse.zookeeper.quota.node.count”参数，将该参数的值调整为步骤2中Output stat的count值的2倍。 3. 重启告警信息对应的ClickHouse实例，等待五分钟，查看告警是否消除。 是，处理完毕。 否，再次执行步骤4，等待五分钟，查看告警是否消除，如果还没有清除请执行步骤5。

本章节主要介绍 ALM13009 ZooKeeper Znode容量使用率超出阈值。 告警解释 系统每小时周期性检测ZooKeeper服务数据目录下二级znode状态，当检测到二级znode的总容量超过阈值时产生该告警。 告警属性 告警ID 告警级别 是否自动清除 13009 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 服务目录 产生告警的目录名称。 角色名 产生告警的角色名称。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 向ZooKeeper数据目录空间写入大量数据，导致ZooKeeper无法对外正常提供服务。 可能原因 往ZooKeeper数据目录空间写入大量数据。 自定义阈值设置不合理。 处理步骤 检查告警目录是否写入大量数据 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM13009 ZooKeeper Znode容量使用率超出阈值”所在行的下拉菜单，在定位信息中确认告警上报的Znode。 2. 选择“集群 > 待操作集群的名称 > 服务 >ZooKeeper”，单击“资源”，在精细化监控“资源使用（按二级Znode）”中，单击“按容量”查看顶级Znode目录是否被写入较多数据。 是，记录被写入较多数据的目录，执行步骤 3。 否，执行步骤 5。 3. 确认被写入较多数据的目录中数据是否可以进行删除。 说明 删除ZooKeeper中的数据为高危操作，请谨慎处理。 是，执行步骤 4。 否，执行步骤 5。 4. 登录ZooKeeper客户端，删除被写入较多数据的目录中的无用数据。 a.登录ZooKeeper客户端安装目录（例如“/opt/Bigdata/client”），并配置环境变量。 cd/opt/Bigdata/client source bigdataenv b.执行以下命令进行用户认证。（普通模式跳过此步骤） kinit 组件业务用户 c.执行以下命令登录客户端工具。 zkCli.shserver : d.执行以下命令删除无用数据。 delete 待删除文件路径 5. 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 >ZooKeeper > 配置 > 全部配置”，然后搜索“max.data.size”即“ZooKeeper目录的容量配额的最大值”，单位为Byte。然后搜索“GCOPTS”配置项,查看其中“Xmx”的值。 6. 比较“max.data.size”和“Xmx0.65”的值的大小，较小的值乘以80%为ZooKeeper Znode容量的阈值，可适当修改这两项配置，增大阈值。 7. 观察界面告警是否清除。 是，处理完毕 否，执行步骤8。

本文介绍HTTPS的概念以及全站加速如何配置HTTPS。 什么是HTTPS? HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTPS数据传输。 HTTPS也叫安全的超文本传输协议，默认使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 全站加速是否支持HTTPS配置？ 天翼云全站加速目前已经全面支持HTTPS配置。详见：HTTPS配置。在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云全站加速节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置全站加速节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 通过客户控制台在全站加速节点上提前准备好SSL证书的公钥和私钥。证书上传路径，详见：新增证书。

接口描述 压缩或者清理Postgresql实例本地日志 请求方法 POST URI /v1/monitor/purgeinstlog 请求参数 名称 位置 类型 必选 说明 prodInstId query Long 是 实例id logTime query String 否 日志时间，只清理或者压缩该时间（包括该时间）之前的日志， 格式：yyyyMMdd HH:mm:ss， purge query Integer 否 压缩或者清理日志，0:清理，1：压缩；默认进行压缩 logFieNames query List 否 日志文件名称，若传入该值，会忽略日志时间，只清理或者压缩这些文件，限制500个， 和logTime不能同时为空 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 示例 请求示例 /v1/monitor/purgeInstanceLog { "logFieNames": [ "postgresql20220911000000.log", "postgresql20220913000000.log" ], "prodInstId": 60 } 响应示例 { "message": "SUCCESS", "opMessage": "", "returnObj": {}, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

本节主要介绍Redis实例如何通过rediscli连接 rediscli是原生Redis自带的命令行工具，您可以在ECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 前提条件 1. 设置Redis账号密码。可选择以下任意方式： 设置Redis默认账号的密码，具体操作请参考重置缓存实例密码。 创建新的账号密码，具体操作请参考创建与管理账号。 2. 获取Redis连接信息。 使用专有网络连接：在Redis控制台，获取该实例的专有网络连接地址，具体操作请参考查看连接地址。 使用公网连接时：在Redis控制台，绑定并获取该实例的公网IP，具体操作请参考绑定公网IP。 说明 说明：Redis实例默认仅提供专有网络连接地址，通过公网连接时您需要手动申请公网连接地址，具体操作请查看 操作步骤 1. 登录安装rediscli的设备，例如天翼云弹性云主机实例或本地设备。 2. 进入rediscli安装目录下。 Windows：打开命令行窗口，进入rediscli所属的目录。 Linux：进入..redissrc所属的目录，例如cd /home/redis5.0.5/src。 3. 获取连接信息并执行下述命令连接Redis实例： rediscli h ip p port 各参数说明如下： 参数 说明 获取方式 ip Redis实例的连接地址 参见查看连接地址 port Redis实例的端口号 端口号。 4. 执行下述命令完成密码验证： AUTH password

本文介绍分布式缓存服务Redis版基本指标监控 基本指标监控目前主要包含：支持实例QPS，缓存命中率，内存碎片率，内存使用率，客户端连接数、每秒新建连接数、历史淘汰key总数、每秒淘汰key总数、历史逐出key总数、每秒逐出key总数、已设置过期时间的key总数等监控指标。 指标名称 单位 说明 每秒并发操作数（QPS） Counts/s 每秒总请求数，包含读和写命令。 缓存命中率 % 命中率计算方法：Key命中数÷（Key命中数+Key未命中数）。 内存碎片率 % memfragmentationratio （内存碎片率） usedmemoryrss (操作系统实际分配给 Redis 的物理内存空间大小)/ usedmemory(Redis 内存分配器为了存储数据实际申请使用的内存空间大小) memfragmentationratio （内存碎片率）的值越大代表内存碎片率越严重。 客户端连接数 个 Redis实例客户端连接数量 键总数 个 Redis实例的key总数 阻塞客户端连接数 个 Redis实例当前被阻塞操作挂起的客户端的数量 已使用内存 G Redis实例内存的已使用量 每秒新建连接数 个 Redis实例每秒新建客户端连接的个数 历史淘汰key总数 个 Redis实例记录的历史淘汰key总数 每秒淘汰key总数 个 Redis实例每秒淘汰的key数量 历史逐出key总数 个 Redis实例历史总逐出key的数量 每秒逐出key总数 个 Redis实例每秒逐出的key数量 已设置过期时间的key总数 个 Redis实例当前存在过期key的数量

本小节介绍日志审计(原生版)告警结果用户指南。 告警结果页面是展示日志审计服务对接的所有资产产生告警的统计页面。 前提条件 资产已经成功纳管并完成采集配置。 查看告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 查看告警结果。 说明 “告警结果”页默认展示最近24小时的告警内容，若您想查看另外时间段的告警信息，可在页面右上角的时间框中选择需要查看的时间段。 编辑告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要编辑的告警，单击“操作”列的“编辑”按钮，进入“告警详情”页面。 4. 可以修改“处置状态”、“威胁状态”和“紧急性”。 告警结果处置 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要处置的告警，单击“操作”列的“处置”按钮，进入“处置”页面。 4. 填写告警的处理方式。 参数 参数说明 处理结果 根据实际情况选择“已处理”、“已删除”、“已忽略（误报）”。 整改建议 （选填）填写告警的整改建议。 处理说明 填写告警的处理说明。 注意 已清除的告警再次触发后，不再变更处理状态，其处理状态变更为待处理，需要重新处置。

查看出云流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> 互联网边界流量分析”，进入互联网边界流量分析页面。 3. 选择“出云分析（主动外联）”，查看云上资源访问互联网时经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计云上资源访问互联网的数据统计以及最大流量信息，包括目的IP、源IP、目的端口、协议。 出云访问TOP统计：查看所选时间段内出云流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 出云访问带宽统计：出云峰值带宽、出云累计带宽，以及出云请求流量和响应流量数据。 出云访问分布统计：查看所选时间段内出云访问协议、出云访问应用、出云访问目的端口分布情况。支持按次数、流量进行查看。 主动外联源IP分析：展示出云流量中源IP的流量详细信息。 主动外联源IP支持添加黑/白名单，一键封禁/放行源IP。添加黑/白名单后，可通过配置黑白名单规则对规则进行管理。 主动外联目的IP分析：展示出云流量中目的IP的流量详细信息。

本节主要介绍图片处理相关处理示例。 操作场景 使用OOS图片处理指令对Bucket中的图片进行处理。 前提条件 开通对象存储（经典版）Ⅰ型服务，图片所在Bucket的权限为公共读或者公共读写。 具体操作 原图宽400，高300： 获取单边固定宽度的缩略图片，宽度为100，高度按比例处理： 获取单边固定宽度的缩略图片，强制缩略成宽度为100，高度为100： 按比例缩放图片，将图按比例缩小1/2： 格式转换，将jpg保存成高度为100, 宽度为100的png格式： 获取图片的基本信息和exif信息： plaintext {"Format":{"value":""},"ImageHeight":{"value":"300 pixels"},"ImageWidth":{"value":"400 pixels"},"FileSize":{"value":"19716"}} 获取文字水印图片，字体是文泉驿正黑，字体大小是20, 颜色是白色(