生命周期管理是指通过配置指定的规则,定期删除桶中的对象或改变对象的存储类别。本文介绍生命周期的使用场景、基本规则和使用方式。 使用场景 生命周期管理可应用于以下典型场景： 定期上传的日志文件可能只需要保留一周或一个月。当它们过期时删除它们。 一些文档在一段时间内被频繁访问，但是在一段时间后可能不再被访问。这些文档需要转换为低频存储、归档存储或在一定时间后删除。 出于存档目的上传到对象存储（简称ZOS）的一些数据类型包括数字媒体存档、财务和医疗记录、原始基因组序列数据、长期数据库备份以及为满足监管要求而必须保留的数据。 一次性删除桶中的大量文件。手动删除对象费时费力，而且有数量限制。在桶中配置一个生命周期管理规则，设置为定期删除所有文件。 对于上述场景中的对象，可以定义标识这些对象的生命周期管理规则，通过这些规则实现对象的生命周期管理。 注意 最多可配置1000条生命周期管理规则，超过1000条则不支持。 低频访问存储的最低存储时间为30天，归档存储的最低存储时间为90天。如果低频的对象转换存储类型后，低频类型的存储时间少于最低存储时间，需要补足剩余天数的存储费用。 对象存储类别转换限制： 支持将标准存储对象转换为低频或归档存储对象，低频或归档存储对象转换为标准存储对象需手动转换。 支持将标准存储或低频访问存储对象转换为归档存储对象。如果要将归档存储对象转换为标准存储或低频访问存储对象，需要手动恢复对象，然后手动转换存储类别。 归档类型不支持多AZ，因此无法使用生命周期规则将多 AZ 存储桶中文件的存储类型转换为归档存储。

本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

本文为您介绍已过期备份集的相关功能。 已过期备份集页面支持汇总所有通过备份规则或备份集复制等产生的过期备份集信息，且支持过期备份集多条件组合搜素，方便对过期备份集进行统一的管理。 1. 已过期备份集列表说明如下： 备份ID：显示该备份集对应的备份ID。 客户端：显示该备份集对应的客户端。 实例名：显示该备份集对应的实例名字，一般仅数据库才显示。 对象：当前版本显示为空，作为后续数据源备份集管理预留字段使用。 备份时间：显示该备份集的备份时间。 过期时间：显示该备份集何时过期（备份时间+保留时间） 状态：显示当前备份集的状态。 文件数量：显示当前备份集的文件数量。 大小：显示备份集的大小。 磁盘池：显示备份集所属的磁盘池名称。 磁带池：显示备份集所属的磁带池名称。 备份规则：现在该备份集对应的备份规则名称。 副本数：显示该备份集的副本数量，当副本数>1时，为超链接形式，可以点击查看该备份集的所有副本。 主副本：显示该备份集是否为主副本，即第一次产生的备份副本。 存储单元：显示该备份集备份时的目标存储单元。 规则类型：显示该备份集对应的规则类型。 备份类型：显示该备份集对应的备份类型。 备份计划：现在该备份集对应的备份计划名称。 备份服务器：显示该备份集所属的备份服务器。 存储介质：显示该备份集对应的存储介质。 磁带条形码：显示该备份集对应的磁带条形码。 备份集清理次数：显示备份集过期清理的次数。 2. 操作列说明如下： 查看：查看备份集详细信息。 3. 操作栏说明如下： 导出：导出备份集过期任务。 删除：删除备份集过期任务。 刷新：刷新当页备份集过期任务。

操作步骤 1. 购买数据安全中心DSC。 2. 在左侧导航树中，选择“安全 > 数据安全中心”。 3. 点击左侧导航树中的“资产列表”，单击页面右上角的“云资产委托授权”。 4. 在对象存储OBS资产所在行的“操作”列，单击开启授权。 5. 添加对象存储OBS资产，具体的操作请参见添加OBS资产。 6. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。 “数据类型”选择步骤5中添加的OBS资产，其他配置请参见创建敏感数据识别任务。 7. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 8. 单击目标任务“操作”列的“识别结果”查看识别结果。 在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如下图所示。 9. 单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 在“安全总览”页面查看“数据存储安全”模块，如果风险数据库中存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情和查看Access Key泄露检测事件详情。 在OBS控制台，为了解决存在风险的桶或文件，可以修改其读写权限。

本文为您介绍脚本编写最佳实践。 概述 多活容灾服务支持使用 Shell 与 Python2 脚本语言。您可以在数据库或非天翼云云主机上执行这些脚本。 脚本管理提供多种创建方式： 上传本地脚本：直接上传您已有的脚本文件。 手工录入：在平台提供的编辑器中直接编写脚本内容。 克隆现有脚本：基于一个已有脚本快速复制并修改。 脚本功能强大，支持以下高级特性： 定义脚本参数：通过参数化提升脚本的灵活性。 使用系统环境变量：内置平台提供的环境变量。 设计输入与输出：明确脚本的请求参数与返回结果。 设置成功标准：根据返回参数自定义脚本执行成功的判定条件。 使用介绍 一、脚本参数说明 通过定义脚本参数，可以极大增强脚本的灵活性和复用性。单个脚本可作为模板，通过为不同资源配置不同的参数值，轻松适配多种场景，无需重复编写。 脚本参数包含两种类型： 1. 此类参数由多活容灾平台预定义，例如 HostIP、HostPort、HostUser、DBIP 等（共12个）。脚本执行时，平台会自动获取 指定资源的对应信息并注入环境变量，无需用户手动设置。 说明 查看方法：目前支持HostIP、HostPort、HostUser、HostPwd、HostAuthKeyPath、HostOtherUser、HostOtherPwd、DBIP、DBPort、DBName、DBName、DBPwd。具体适用对象和备注等内容可通过左侧菜单栏的“系统环境变量”查看。 2. 用户可根据脚本逻辑自定义所需的参数，每个参数需配置参数名 、参数类型 和参数Key。 参数名：仅为便于管理界面识别和填写，不会在脚本执行过程中出现。 参数Key：脚本执行时实际使用的变量名。 用户自定义参数分为两种用途： 请求参数：作为脚本的输入，在执行前由用户配置具体值，用于初始化脚本中的变量。 返回参数：作为脚本的输出结果，平台将捕获此参数的值，并用于判断脚本执行是否达到用户定义的成功标准。

基于cstorcsi插件，支持使用云硬盘、弹性文件和对象存储等天翼云云存储服务。本文介绍云存储类型和如何使用云存储。 云存储介绍 天翼云提供针对各种存储资源（块、文件和对象）的低成本、高可靠、高可用的存储服务，您可以根据业务负载的存储需求，考虑数据量、数据访问频率、IOPS和吞吐量等因素，来选择合适的云存储服务。常用的云存储服务如下： 云硬盘 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 弹性文件 天翼云弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 对象存储 天翼云对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 挂载云存储 云存储 说明 云容器引擎集群 云硬盘 云硬盘为非共享存储，一块云硬盘只能挂载到一个Pod上。 挂载时，支持静态数据卷 云硬盘存储 弹性文件 弹性文件为共享存储，一个文件系统可以挂载到多个Pod上。 挂载时，支持静态数据卷 弹性文件存储 对象存储 对象存储为共享存储，一个对象桶可以挂载到多个Pod上。 挂载时，支持静态数据卷 对象存储

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止CDN加速服务，客户可以通过CDN控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”，且天翼云CDN会立即将加速域名的CNAME解析至不可用地址。 删除域名 对域名进行删除操作后，天翼云CDN会直接删除加速域名在CDN节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至CDN节点，则会响应403。 注意事项 停用CDN加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过CDN加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用CDN加速域名 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，选择对应域名，单击【操作】列下的【更多】，可看到【停用】按钮。 4. 单击【停用】按钮，单击【确认停用】。 如您需要删除已停用域名，等待停用域名工单完成后继续按如下删除CDN加速域名的流程进行操作。

本章节主要介绍最佳实践中基于角色的权限管理(RBAC)。 什么是基于角色的用户管理？ 基于角色的用户管理(RoleBased Access Control，简称RBAC)是通过为角色赋予权限，用户通过成为适当的角色而得到这些角色的权限。 角色是一组权限的抽象。 使用RBAC可以极大简化对权限的管理。 什么是RBAC模型？ 为角色赋予适当的权限。 指定用户为相应的角色。 场景介绍 假设有两个SCHEMA：s1, s2。 有两组用户： 一组用户包括u1, u2，可以在s1中查询所有表，在s2中更新所有表。 另一组用户包括u3, u4，可以在s2中查询所有表，在s1中更新所有表。 1.使用系统管理员dbadmin连接DWS数据库。 2.复制以下语句在窗口1中执行，创建本用例的SCHEMA s1和s2，用户u1~u4。 说明 示例中'{password}'请替换成实际密码。 CREATE SCHEMA s1; CREATE SCHEMA s2; CREATE USER u1 PASSWORD '{password}'; CREATE USER u2 PASSWORD '{password}'; CREATE USER u3 PASSWORD '{password}'; CREATE USER u4 PASSWORD '{password}'; 3.复制以下语句在窗口1中执行，创建对应的s1.t1，s2.t1表。 CREATE TABLE s1.t1 (c1 int, c2 int); CREATE TABLE s2.t1 (c1 int, c2 int); 4.复制以下语句在窗口1中执行，为表插入数据。 INSERT INTO s1.t1 VALUES (1,2); INSERT INTO s2.t1 VALUES (1,2); 5.复制以下语句在窗口1中执行，创建4个角色。分别对应s1的查询权限、s1的更新权限、s2的查询权限、s2的更新权限。 CREATE ROLE rs1select PASSWORD disable; s1的查询权限 CREATE ROLE rs1update PASSWORD disable; s1的更新权限 CREATE ROLE rs2select PASSWORD disable; s2的查询权限 CREATE ROLE rs2update PASSWORD disable; s2的更新权限 6.复制以下语句在窗口1中执行，将SCHEMA s1和s2的访问权限先授予这些角色。 GRANT USAGE ON SCHEMA s1, s2 TO rs1select, rs1update,rs2select, rs2update; 7.复制以下语句在窗口1中执行，将具体的权限授予这些角色。 GRANT SELECT ON ALL TABLES IN SCHEMA s1 TO rs1select; 将s1下的所有表的查询权限授予角色rs1select GRANT SELECT,UPDATE ON ALL TABLES IN SCHEMA s1 TO rs1update; 将s1下的所有表的查询、更新权限授予角色rs1update GRANT SELECT ON ALL TABLES IN SCHEMA s2 TO rs2select; 将s2下的所有表的查询权限授予角色rs2select GRANT SELECT,UPDATE ON ALL TABLES IN SCHEMA s2 TO rs2update; 将s2下的所有表的查询、更新权限授予角色rs2update 8.复制以下语句在窗口1中执行，将对应的角色授予对应的用户，实现将一组权限授予用户。 GRANT rs1select, rs2update TO u1, u2; u1，u2可以对s1的查询权限、对s2的更新权限。 GRANT rs2select, rs1update TO u3, u4; u3，u4可以对s2的查询权限、对s1的更新权限。 9.复制以下语句在窗口1中执行，可以查看指定用户绑定的角色。 du u1; 10.重新打开一个会话窗口2，以用户u1连接DWS数据库。 gsql d gaussdb h U u1 p 8000 r W {password}; 11.复制以下语句在窗口2中执行，验证用户u1对s1.t1有查询权限而没有更新权限。 SELECT FROM s1.t1; UPDATE s1.t1 SET c2 3 WHERE c1 1; 12.复制以下语句在窗口2中执行，验证用户u1对s2.t1有更新权限。 SELECT FROM s2.t1; UPDATE s2.t1 SET c2 3 WHERE c1 1;

本节主要介绍服务器监控信息。 在“监控”页面点击“服务器”，可以查看服务器上HBlock指定时间内的监控信息：数据目录使用率、容量配额使用率、CPU使用率、内存使用量、内存总量、数据目录使用量、数据目录总容量、配额使用量、配额、读带宽、写带宽、总带宽、读IOPS、写IOPS、总IOPS、读时延、写时延、总时延、上云上传带宽、上云下载带宽、上云总带宽。 图1 服务器监控（单机版） 项目 描述 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 所有数据目录所在磁盘使用率的平均值。 容量配额使用率 HBlock所有数据目录容量配额使用率的平均值。 HBlock服务器 HBlock服务器的性能。 CPU使用率 服务器CPU使用率。 内存使用量 服务器内存使用量。 内存总量 服务器内存总量。 数据目录使用量 数据目录所在磁盘使用量的总和。 数据目录总容量 数据目录所在磁盘容量的总和。 配额使用量 HBlock已使用容量配额。 配额 HBlock容量配额总和。 客户端 HBlock 当前服务器上，客户端与HBlock之间的数据传输情况。 读带宽 客户端从HBlock服务器读取数据的带宽。 写带宽 客户端向HBlock服务器写入数据的带宽。 总带宽 客户端与HBlock服务器之间的总带宽。 读IOPS 客户端从HBlock服务器读取数据的IOPS。 写IOPS 客户端向HBlock服务器写入数据的IOPS。 总IOPS 客户端与HBlock服务器之间的总IOPS。 读时延 客户端从HBlock服务器读取数据的时延。采集周期内，服务器关联卷的读时延平均值。 写时延 客户端向HBlock服务器写入数据的时延。采集周期内，服务器关联卷的写时延平均值。 总时延 客户端与HBlock服务器之间的总时延。采集周期内，服务器关联卷的读写时延平均值。 HBlock Cloud 当前服务器上，HBlock与云之间的数据传输情况。 上云上传带宽 HBlock服务器器向云上传数据的带宽。 上云下载带宽 HBlock服务器从云下载数据的带宽。 上云总带宽 HBlock服务器与云之间的总带宽。

本文主要介绍 云日志服务C++ SDK接入指南。 1. 前言 安装使用C++ SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK C++版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装c++ 运行环境，推荐安装c++11或以上版本。 2.2. 下载及安装 从官方渠道下载ctyunltscppsdk.zip压缩包，放到相应位置后并解压。“ctyunltscppsdk”目录中sampleputlogs.cpp为SDK的使用示例代码。 2.1.1. 依赖 cmake2.8或更新版本，GCC 4.9或更新版本。以下库及其相关头文件，可在对应Linux发行版的包管理器中安装，括号中给出的是经过验证的版本。 plaintext libcurldevel (7.6.1) openssldevel (1.1.1) protobuf (3.5.0) lz4 (v1.8.3) boost (1.66.0) 对于 CentOS 安装，可用如下命令搭建依赖环境 plaintext yum install gcc gccc++     yum install cmake yum install libcurldevel openssldevel libuuiddevel yum install lz4devel.x8664 yum install protobufdevel.x8664 yum install boostdevel.x8664 2.1.2. 编译使用 1、进入ctyunltscppsdk目录下，里面有CMakelists.txt文件。 2、执行以下命令： plaintext mkdir build cd build cmake .. DCMAKEINSTALLPREFIX.. make make install 其中make 主要做的工作有：为.proto文件生成对应的.pb.cc、.pb.h，以及编译出静态库文件libltssdk.a。 3、将ctyunltscppsdk的include目录下的头文件，全部移动到您项目的include目录下，（如果直接使用SDK 则可以不用移动）。 4、之后就可以在您的项目内使用SDK了，只需要引入对应的头文件即可。 5、编译您的程序，在您目录下内编译您的程序，构建出可执行文件。 如sampleputlogs.cpp： plaintext g++ sampleputlogs.cpp I./include L./lib/ lcurl lcrypto llz4 lprotobuf lltssdk 或者 根据主目录中的Makefile 文件。执行以下命令,也能实现上面的构建出可执行文件。 plaintext make sampleputlogs 6、执行可执行文件。 plaintext ./sampleputlogs 3. SDK使用设置

该任务指导用户通过漏洞扫描服务查看任务详情。 前提条件 已获取管理控制台的登录帐号与密码。 已开启了资产的监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面。 4. 在目标监测任务所在行的“最近一次扫描情况”列，单击分数或者“查看详情”，进入“任务详情”界面，可以查看相应任务的“扫描项总览”。 说明 扫描任务详情界面默认显示最近一次的扫描情况，如果您需要查看其他时间的扫描情况，在“历史扫描报告”下拉框中，选择扫描时间点。 单击“重新扫描”，可以重新执行扫描任务。 如果需要修改扫描任务名称或者检测项，单击“编辑”，完成相关配置。 当扫描任务成功完成后，单击右上角的“生成报告”，生成网站扫描报告后，单击右上角的下载报告按钮，可以下载任务报告，目前只支持PDF格式。 5. 选择“扫描项总览”页签，查看扫描项的检测结果。 说明 如果检测结果存在漏洞或者风险，可在“检测结果”列，单击“查看详情”了解漏洞或者风险的详细情况。 6. 选择“漏洞列表”页签，查看漏洞信息。 说明 单击“查看更多”，可以查看详细的漏洞分析。 单击漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”。 如果您确认扫描出的漏洞不会对网站造成危害，请在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但扫描结果将不会统计忽略的漏洞。例如，如果您对2个低危漏洞执行了“忽略”操作，则再次执行扫描任务，扫描结果显示的低危漏洞个数将减少2。 如果想对已忽略的漏洞恢复为风险类型，在目标漏洞所在行的“操作”列，单击“取消忽略”，恢复检测此漏洞。 7. 选择“业务风险列表”页签，查看业务风险信息。 8. 选择“端口列表”页签，查看目标网站的端口信息。 9. 选择“站点结构”页签，查看目标网站的站点结构信息。 说明 站点结构显示的是目标任务的漏洞的具体站点位置，如果任务暂未扫描出漏洞，站点结构无数据显示。 显示目标网站的基本信息，包括： IP地址：目标网站的IP地址。 服务器：目标网站部署所使用的服务器名称（例如：Tomcat 、Apache httpd、 IIS等）。 语言：目标网站所使用的开发语言（例如：PHP、JAVA、C

本节主要介绍使用V4签名时的HttpURLConnection开发。 应用场景 V4签名下，使用HttpURLConnection开发。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 可以参考下列示例进行HttpURLConnection开发。 package cn.ctyun.oos.sample; import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.io.OutputStream; import java.io.UnsupportedEncodingException; import java.net.HttpURLConnection; import java.net.URL; import java.net.URLEncoder; import java.security.MessageDigest; import java.text.SimpleDateFormat; import java.util.ArrayList; import java.util.Collections; import java.util.Date; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Map; import java.util.SortedMap; import java.util.TimeZone; import java.util.TreeMap; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; public class OOSDemoForV4Signer { private static final SimpleDateFormat ISO8601DATEFORMAT new SimpleDateFormat("yyyyMMdd'T'HHmmss'Z'"); private static final SimpleDateFormat ISO8601DAYFORMAT new SimpleDateFormat("yyyyMMdd"); private static final char[] HEXCODE "0123456789abcdef".toCharArray(); private static final String UNSIGNEDPAYLOAD "UNSIGNEDPAYLOAD"; private static final String SCHEME "AWS4"; private static final String ALGORITHM "HMACSHA256"; private static final String TERMINATOR "aws4request"; private static final String HMACSHA256 "HmacSHA256"; private static final String OOSACCESSKEY "youraccesskey"; private static final String OOSSECRETKEY "yoursecretkey"; private static final String OOSENDPOINT "ooscn.ctyunapi.cn"; private static final String OOSBUCKET "your bucket name"; private static final String OOSOBJECTNAME "yourobjectname"; private static final String OOSOBJECTCONTENT "yourobjectcontent"; private static final int DEFAULTTIMEOUT 30000; static { TimeZone utc TimeZone.getTimeZone("UTC"); ISO8601DATEFORMAT.setTimeZone(utc); ISO8601DAYFORMAT.setTimeZone(utc); } public static void main(String[] args) throws Exception { OOSDemoForV4Signer demo new OOSDemoForV4Signer(); demo.putObject(); demo.getObject(); demo.deleteObject(); } public void getObject() { try { HttpURLConnection connection generateConnection("GET", OOSBUCKET, OOSOBJECTNAME); connection.connect(); int responseCode connection.getResponseCode(); // 在responseCode为200 的情况下， 可将connection.getInputStream()的对象数据读出。 if(responseCode 200) { System.out.println("get object success"); } try (InputStream inputStream responseCode 200 ? connection.getInputStream() : connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } public void putObject() { try { HttpURLConnection connection generateConnection("PUT", OOSBUCKET, OOSOBJECTNAME); connection.setDoOutput(true); connection.connect(); // Create the object byte[] requestBody OOSOBJECTCONTENT.getBytes(); try (OutputStream outputStream connection.getOutputStream()) { outputStream.write(requestBody); } // Execute the request and print the response int responseCode connection.getResponseCode(); if (responseCode 200) { System.out.println("put object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } public void deleteObject() { try { HttpURLConnection connection generateConnection("DELETE", OOSBUCKET, OOSOBJECTNAME); connection.connect(); int responseCode connection.getResponseCode(); if (responseCode 204) { System.out.println("delete object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } private HttpURLConnection generateConnection(String method, String bucket, String objectKey) throws Exception { String requestUrl " + bucket + "." + OOSENDPOINT + "/" + urlEncode(objectKey, true); Map headers new HashMap<>(); // 1 加在headers里的所有头域，都参与计算签名。 // 2 任何头以xamzmeta这个前缀开始都会被认为是用户的元数据，当用户检索时，它将会和对象一起被存储并返回。PUT请求头大小限制为8KiB。在PUT请求头中，用户定义的元数据大小限制为2KiB。 // headers.put("xamzmetatest", "oos"); Map querys new HashMap (); URL url new URL(requestUrl); String authorization v4Sign(headers, querys, UNSIGNEDPAYLOAD, url, method); headers.put("Authorization", authorization); HttpURLConnection connection (HttpURLConnection)new URL(requestUrl).openConnection(); connection.setRequestMethod(method); connection.setConnectTimeout(DEFAULTTIMEOUT); connection.setReadTimeout(DEFAULTTIMEOUT); headers.forEach(connection::setRequestProperty); return connection; } / 以下是签名计算相关方法 / private String v4Sign(Map headers, Map queryParameters, String bodyHash, URL endpointUrl, String httpMethod) { String host endpointUrl.getHost(); String serviceName parseServiceName(host); String regionName parseRegionName(host); // first get the date and time for the subsequent request, and convert // to ISO 8601 format for use in signature generation Date now new Date(); String dateTimeStamp ISO8601DATEFORMAT.format(now); // update the headers with required 'xamzdate' and 'host' values if (headers null) { headers new HashMap (); } headers.put("xamzdate", dateTimeStamp); headers.put("xamzcontentsha256", bodyHash); int port endpointUrl.getPort(); if (port > 1 && port ! 80 && port ! 443) { host host.concat(":" + Integer.toString(port)); } headers.put("Host", host); // canonicalize the headers; we need the set of header names as well as the // names and values to go into the signature process String canonicalizedHeaderNames getCanonicalizeHeaderNames(headers); String canonicalizedHeaders getCanonicalizedHeaderString(headers); // if any query string parameters have been supplied, canonicalize them String canonicalizedQueryParameters getCanonicalizedQueryString(queryParameters); // canonicalize the various components of the request String canonicalRequest getCanonicalRequest(endpointUrl, httpMethod, canonicalizedQueryParameters, canonicalizedHeaderNames, canonicalizedHeaders, bodyHash); // construct the string to be signed String dateStamp ISO8601DAYFORMAT.format(now); String scope dateStamp + "/" + regionName + "/" + serviceName + "/" + TERMINATOR; String stringToSign getStringToSign(SCHEME, ALGORITHM, dateTimeStamp, scope, canonicalRequest); // compute the signing key byte[] kSigning createSignatureKey(OOSSECRETKEY, dateStamp, regionName, serviceName); byte[] signature sign(stringToSign, kSigning, HMACSHA256); String credentialsAuthorizationHeader "Credential" + OOSACCESSKEY + "/" + scope; String signedHeadersAuthorizationHeader "SignedHeaders" + canonicalizedHeaderNames; String signatureAuthorizationHeader "Signature" + toHex(signature); String authorizationHeader SCHEME + "" + ALGORITHM + " " + credentialsAuthorizationHeader + ", " signedHeadersAuthorizationHeader + ", " + signatureAuthorizationHeader; return authorizationHeader; } private String getCanonicalizedQueryString(Map parameters) { if (parameters null parameters.isEmpty()) { return ""; } SortedMap sorted new TreeMap (); Iterator > pairs parameters.entrySet().iterator(); while (pairs.hasNext()) { Map.Entry pair pairs.next(); String key pair.getKey(); String value pair.getValue(); sorted.put(urlEncode(key, false), urlEncode(value, false)); } StringBuilder builder new StringBuilder(); pairs sorted.entrySet().iterator(); while (pairs.hasNext()) { Map.Entry pair pairs.next(); builder.append(pair.getKey()); builder.append(""); builder.append(pair.getValue()); if (pairs.hasNext()) { builder.append("&"); } } return builder.toString(); } private String getCanonicalizedHeaderString(Map headers) { if (headers null headers.isEmpty()) { return ""; } // step1: sort the headers by caseinsensitive order List sortedHeaders new ArrayList (); sortedHeaders.addAll(headers.keySet()); Collections.sort(sortedHeaders, String.CASEINSENSITIVEORDER); // step2: form the canonical header:value entries in sorted order. // Multiple white spaces in the values should be compressed to a single // space. StringBuilder buffer new StringBuilder(); for (String key : sortedHeaders) { buffer.append(key.toLowerCase().replaceAll("s+", " ") + ":" + headers.get(key).replaceAll("s+", " ")); buffer.append("n"); } return buffer.toString(); } private String getCanonicalizeHeaderNames(Map headers) { List sortedHeaders new ArrayList (); sortedHeaders.addAll(headers.keySet()); Collections.sort(sortedHeaders, String.CASEINSENSITIVEORDER); StringBuilder buffer new StringBuilder(); for (String header : sortedHeaders) { if (buffer.length() > 0) buffer.append(";"); buffer.append(header.toLowerCase()); } return buffer.toString(); } private String getCanonicalRequest(URL endpoint, String httpMethod, String queryParameters, String canonicalizedHeaderNames, String canonicalizedHeaders, String bodyHash) { String canonicalRequest; if (bodyHash null bodyHash.equals("")) { canonicalRequest httpMethod + "n" + getCanonicalizedResourcePath(endpoint) + "n" + queryParameters "n" + canonicalizedHeaders + "n" + canonicalizedHeaderNames; } else { canonicalRequest httpMethod + "n" + getCanonicalizedResourcePath(endpoint) + "n" + queryParameters "n" + canonicalizedHeaders + "n" + canonicalizedHeaderNames + "n" + bodyHash; } return canonicalRequest; } private String getStringToSign(String scheme, String algorithm, String dateTime, String scope, String canonicalRequest) { String stringToSign scheme + "" + algorithm + "n" + dateTime + "n" + scope + "n" + toHex(hash(canonicalRequest)); return stringToSign; } private byte[] createSignatureKey(String key, String dateStamp, String regionName, String serviceName) { byte[] kSecret (SCHEME + key).getBytes(); byte[] kDate sign(dateStamp, kSecret, HMACSHA256); byte[] kRegion sign(regionName, kDate, HMACSHA256); byte[] kService sign(serviceName, kRegion, HMACSHA256); byte[] kSigning sign(TERMINATOR, kService, HMACSHA256); return kSigning; } private byte[] sign(String stringData, byte[] key, String algorithm) { try { byte[] data stringData.getBytes("UTF8"); Mac mac Mac.getInstance(algorithm); mac.init(new SecretKeySpec(key, algorithm)); return mac.doFinal(data); } catch (Exception e) { throw new RuntimeException("Unable to calculate a request signature: " + e.getMessage(), e); } } private String getCanonicalizedResourcePath(URL endpoint) { if (endpoint null) { return "/"; } String path endpoint.getPath(); if (path null path.isEmpty()) { return "/"; } // String encodedPath urlEncode(path, true); String encodedPath path; if (encodedPath.startsWith("/")) { return encodedPath; } else { return "/".concat(encodedPath); } } private String urlEncode(String url, boolean keepPathSlash) { String encoded; try { encoded URLEncoder.encode(url, "UTF8"); } catch (UnsupportedEncodingException e) { throw new RuntimeException("UTF8 encoding is not supported.", e); } if (keepPathSlash) { encoded encoded.replace("%2F", "/"); } return encoded; } private String toHex(byte[] data) { StringBuilder r new StringBuilder(data.length 2); for (byte b : data) { r.append(HEXCODE[(b >> 4) & 0xF]); r.append(HEXCODE[(b & 0xF)]); } return r.toString(); } private byte[] hash(String text) { try { MessageDigest md MessageDigest.getInstance("SHA256"); md.reset(); md.update(text.getBytes("UTF8")); return md.digest(); } catch (Exception e) { throw new RuntimeException("Unable to compute hash while signing request: " + e.getMessage(), e); } } private String parseRegionName(String host) { String pattern "oos([w]).ctyunapi.cn$"; Pattern r Pattern.compile(pattern); Matcher m r.matcher(host); if (m.find()) { return m.group(1).toLowerCase(); } else { throw new RuntimeException("parse region error, please check endpoint."); } } private String parseServiceName(String host) { if (host.endsWith("iam.ctyunapi.cn")) { return "sts"; } else { return "s3"; } } }

本文向您介绍如何修改已创建的企业版VPN连接。 场景描述 VPN连接是建立VPN网关和外部数据中心对端网关之间的加密通道。当VPN连接的网络参数变化时，可以修改VPN连接。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”界面，选择目标VPN连接所在行，单击“修改连接信息”或“修改策略配置”。 4. 根据界面提示修改VPN连接的配置参数。 5. 单击“确定”。 注意 修改预共享密钥和IKE/IPsec策略场景下，请确保VPN连接和对端网关配置的信息一致，否则会导致VPN连接中断。 不同参数修改后的生效机制不同，生效机制说明如下表。 表修改连接参数的生效机制说明 场景 参数 生效机制 操作方法 预共享密钥 IKE策略为v1时：修改后下个协商周期生效。 IKE策略为v2时：重建VPN连接后生效。 说明 国密型VPN连接无“预共享密钥”参数。 IKE策略为v1时在需要修改的VPN连接所在行，选择“更多 > 重置密钥”，修改VPN连接的预共享密钥。 IKE策略为v2时 1. 删除当前VPN连接。 2. 重新创建VPN连接。 IKE策略（版本为v1） 加密算法 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：“加密算法”、“认证算法”、“协商模式”。 国密型VPN连接无以下参数：“DH算法”、“本端标识”、“对端标识”。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v1） 认证算法 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：“加密算法”、“认证算法”、“协商模式”。 国密型VPN连接无以下参数：“DH算法”、“本端标识”、“对端标识”。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v1） DH算法 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：“加密算法”、“认证算法”、“协商模式”。 国密型VPN连接无以下参数：“DH算法”、“本端标识”、“对端标识”。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v1） 协商模式 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：“加密算法”、“认证算法”、“协商模式”。 国密型VPN连接无以下参数：“DH算法”、“本端标识”、“对端标识”。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v1） 本端标识 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：“加密算法”、“认证算法”、“协商模式”。 国密型VPN连接无以下参数：“DH算法”、“本端标识”、“对端标识”。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v1） 对端标识 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：“加密算法”、“认证算法”、“协商模式”。 国密型VPN连接无以下参数：“DH算法”、“本端标识”、“对端标识”。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v1） 生命周期 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：“加密算法”、“认证算法”、“协商模式”。 国密型VPN连接无以下参数：“DH算法”、“本端标识”、“对端标识”。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v1） 版本 修改后立即生效。 说明 国密型VPN连接不支持修改“版本”参数。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v2） 加密算法 修改后下个协商周期生效。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v2） 认证算法 修改后下个协商周期生效。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v2） DH算法 修改后下个协商周期生效。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v2） 生命周期 修改后下个协商周期生效。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v2） 版本 修改后立即生效。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IKE策略（版本为v2） 本端标识 重建VPN连接后生效。 1. 删除当前VPN连接。 2. 重新创建VPN连接。 IKE策略（版本为v2） 对端标识 重建VPN连接后生效。 1. 删除当前VPN连接。 2. 重新创建VPN连接。 IPsec策略 加密算法 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：加密算法、认证算法。 国密型VPN连接不包含以下参数：PFS。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IPsec策略 认证算法 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：加密算法、认证算法。 国密型VPN连接不包含以下参数：PFS。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IPsec策略 PFS 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：加密算法、认证算法。 国密型VPN连接不包含以下参数：PFS。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IPsec策略 生命周期 修改后下个协商周期生效。 说明 国密型VPN连接不支持修改以下参数：加密算法、认证算法。 国密型VPN连接不包含以下参数：PFS。 在需要修改的VPN连接所在行，单击“修改策略配置”。 IPsec策略 传输协议 暂不支持控制台修改。 在需要修改的VPN连接所在行，单击“修改策略配置”。

1 、备案的目的 根据《互联网信息服务管理办法》规定，在中华人民共和国境内从事互联网信息服务活动，需要先进行备案并获取通信管理局下发的ICP备案号，才允许对外提供互联网信息服务。 备案成功后，通信管理局会分配主体备案号给备案主体（个人或单位均可称为主体），同时也会给此次备案的网站分配网站备案号。 主体备案号格式为：（省简写）ICP备+主体序列号（8位数字） 网站备案号格式为：（省简写）ICP备+主体序列号（8位数字）网站序列号 举例： 天翼云官网（域名ctyun.cn）的网站备案号为：京ICP备 2021034386号34  公司主体备案号为：京ICP备2021034386号。 2 、如何备案 1） 登录天翼云官网备案我的备案 2） 输入本次备案的单位信息和域名（或APP）信息创建备案订单 3） 完善备案信息 4） 上传资料，建议选择“通过微信小程序采集图片”，此步骤会通过手机进行网站负责人的活体验证，方便快捷 5） 提交管局审核 6） 备案完成 3 、域名：非gov.cn的域名备案只能备案一级域名 非gov.cn的域名备案只需备案一级域名，一级域名备案后对应的二级域名、三级域名可以正常使用。 举例：天翼云官网的一级域名为：ctyun.cn，备案完成后对应的二级域名：.ctyun.cn均可正常使用。 境外注册域名不可进行备案。 4 、备案需要多久 1） 天翼云1个工作日内对您的备案信息进行初审。 2） 备案信息提交至通信管理局后，各省管局审核时间不一，管局按照各接入商提交单据的顺序进行审核，审核时间不超过20个工作日。 5 、备案类型 根据主体和域名是否第一次做备案，可以分为不同的备案类型，不同的备案类型填写的信息略有差异。 1) 增加备案信息的类型有： 首次备案（新增备案）：主体和域名均为第一次做备案。 新增互联网信息服务：该主体已备案过其他网站（APP），此次填写的域名（APP）是第一次做备案。 接入备案：主体和域名均已备案，此次备案是办理接入商的变更。 2) 删除备案信息的类型有： 注销主体：删除该主体下的所有备案信息，包括主体信息和网站信息 注销网站：删除主体下的某个网站，主体信息仍然保留 取消接入：删除备案信息和接入商的关联，建议在新的接入商处完成接入备案后再取消接入，否则备案信息可能会被通信管理局注销 3) 修改备案信息的类型有： 变更主体：变更主体信息，如修改公司通信地址等 变更互联网信息服务：变更网站（APP）信息，如删除域名、修改网站负责人、变更IP等 只有在天翼云完成备案的网站，才可以提交变更。 6 、备案需要准备什么材料 个人备案 A. 二代身份证扫描件或拍照件 B. 《ICP备案信息真实性核验单》：去下载。 C. 电子版域名证书： 可到域名注册商处下载域名证书。 根据《工业和信息化部关于规范互联网信息服务使用域名的通知》工信部信管﹝2017﹞264号规定，自2018年1月1日起，域名注册所有人必须是备案主体或者备案主体单位法人。 D. 电子版信息需提供原件： 根据管局规定，证件类的材料必须为原件扫描件或拍照，不可使用彩色复印件。 单位备案 A. 单位证件： 企业需提供营业执照（副本）扫描件/拍照件、机关提供统一社会信用代码证，事业单位提供事业单位法人证书 B. 负责人身份证扫描件/拍照件（外国人可提供护照等其他证件） C. 《ICP备案信息真实性核验单》：去下载。 D. 可到域名注册商处下载域名证书。 根据《工业和信息化部关于规范互联网信息服务使用域名的通知》工信部信管﹝2017﹞264号规定，自2018年1月1日起，域名注册所有人必须是备案主体或者备案主体单位法人。 E. 网站负责人法人授权书（可选）： 如果网站负责人填写的不是法人，还需额外提供授权书，去下载。 7 、接入备案 为什么要办理接入备案？根据国家相关要求，如果您已在A接入商购买服务器并成功办理了ICP备案，当您计划将网站搭建到B接入商平台时（或网站同时在多家接入商平台上运营时），需到B接入商处办理备案，备案信息接入B接入商的过程称为“接入备案”。 另外，如果不办理接入备案即开通网站，您的网站将有可能被阻断无法访问 8 、使用海外服务器不需要备案 购买中国香港或海外服务器无需备案，备案仅针对国内（港澳台地区除外）节点服务器。 9 、境外企业如何备案 目前境外企业无法备案，需要在国内（港澳台地区除外）设立分公司持有国家认可的单位证件才能进行备案。（建议境外企业考虑使用中国香港服务器，使用中国香港服务器无需备案） 10 、备案专有名词 一级域名：一级域名也叫顶级域名，abc.com为一级域名，a.abc.com为二级域名；abc.edu.cn也是一级域名，因为edu.cn本身也是一个域名后缀。 主体：办理备案的个人或者单位均称为备案主体 接入商：提供网站搭建平台并协助您办理备案的即为接入商 主体负责人：单位办理备案时填写的主办单位负责人，一般建议填写公司法人 网站负责人：单位办理备案时填写的网站负责人，负责网站建设等工作，可以填写法人也可以根据实际情况填写相关负责人

本文为您介绍GPU云主机的连接方式概览。 约束与限制 只有运行中的GPU云主机才允许用户登录。 Linux操作系统用户名“root”， Windows操作系统用户名“Administrator”。 GPU实例中，部分实例不支持云平台提供的远程登录功能，需要自行安装VNC Server进行登录。推荐使用MSTSC方式登录GPU云主机。 使用MSTSC方式访问GPU云主机时，使用WDDM驱动程序模型的GPU将被替换为一个非加速的远程桌面显示驱动程序，导致GPU加速功能无法使用。因此，如果需要使用GPU加速能力，您必须使用不同的远程访问工具。如果使用管理控制中心操作界面的“远程登录”功能无法满足您的访问需求，请自行在GPU云主机上安装符合要求的远程访问工具（如Tight VNC）。 登录方式概述 请根据需要选择登录方式，登录GPU云主机。 表1 Linux操作系统的GPU云主机登录方式一览 GPU云主机操作系统 本地主机操作系统 连接方法 条件 Linux Windows 使用控制中心远程登录方式：参见使用VNC方式登录GPU云主机（Linux）。 不依赖弹性IP Linux Windows 使用PuTTY、Xshell等远程登录工具： 参见SSH密码方式登录（本地使用Windows操作系统）。 参见SSH密钥方式登录（本地使用Windows操作系统）。 云主机绑定弹性IP（通过内网登录GPU云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Linux 使用命令连接： 参见SSH密码方式登录（本地使用Linux操作系统）。 参见SSH密钥方式登录（本地使用Linux操作系统）。 云主机绑定弹性IP（通过内网登录GPU云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux 移动设备 使用Termius、JuiceSSH等SSH客户端工具登录云主机：参见在移动设备上登录Linux云主机。 云主机绑定弹性IP（通过内网登录GPU云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Mac OS系统 使用系统自带的终端（Terminal）：参见Mac OS系统登录Linux弹性云主机。 云主机绑定弹性IP（通过内网登录GPU云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） 表2 Windows操作系统的GPU云主机登录方式一览 GPU云主机操作系统 本地主机操作系统 连接方法 条件 Windows Windows 使用控制中心远程登录云主机：参见使用VNC方式登录GPU云主机（Windows）。 不依赖弹性IP Windows 移动设备 安装远程连接工具，例如Microsoft Remote Desktop在移动设备上登录：参见在移动设备上登录Windows云主机。 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Windows 使用mstsc方式登录云GPU主机：参见远程桌面连接（MSTSC方式）。 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Linux 安装远程连接工具，例如rdesktop，执行连接命令：参见在Linux主机上登录Windows云主机。 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Mac OS系统 安装远程连接工具，例如Microsoft Remote Desktop for Mac在Mac OS系统上登录：参见Mac OS系统登录Windows云主机。 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。）

本节介绍了什么是镜像服务、镜像与镜像服务、镜像类型、镜像服务的功能、访问方式。 镜像与镜像服务 镜像是一个包含了软件及必要配置的云主机或物理机模版，包含操作系统或业务数据，还可以包含应用软件（例如，数据库软件）和私有软件。镜像分为公共镜像、私有镜像、共享镜像。 镜像服务（CTIMS, Image Management Service）提供镜像的生命周期管理能力。用户可以灵活地使用公共镜像、私有镜像或共享镜像申请弹性云主机和物理机。同时，用户还能通过已有的云主机或使用外部镜像文件创建私有镜像，实现业务上云或云上迁移。 镜像类型 镜像分为公共镜像、私有镜像、共享镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，共享镜像为其他用户共享的私有镜像。 镜像类型 说明 :: 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 私有镜像 包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 私有镜像包括系统盘镜像、数据盘镜像、ISO 镜像和整机镜像，其中： ● 系统盘镜像：包含用户运行业务所需的操作系统、应用软件的镜像。系统盘镜像可以用于创建云主机，迁移用户业务到云。 ● 数据盘镜像：只包含用户业务数据的镜像。数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 ● ISO 镜像：将外部镜像的ISO文件注册到云平台的私有镜像。ISO镜像是特殊的镜像，只能发放用作临时过渡的云主机。 ● 整机镜像：也叫全镜像，包含用户运行业务所需的操作系统、应用软件和业务数据的镜像。整机镜像基于差量备份制作，相比同样磁盘容量的系统盘镜像和数据盘镜像，创建效率更高。 共享镜像 由其他用户共享而来的私有镜像。

本文主要介绍如何创建备份策略。 通过备份策略，您可以按照一定的策略要求对服务器数据进行周期性备份，以便服务器在数据丢失或损坏时快速恢复数据，保证业务正常运行。 说明 通过备份策略的方式对云服务器进行周期性备份，仅当启用备份策略后，系统才会自动备份所绑定的服务器，并定期删除过期的备份。 每个用户最多只能创建32个备份策略。 一个备份策略中最多可以绑定64个服务器。 操作步骤 1. 登录云服务器备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云主机备份”。 2. 选择“策略”页签，单击页面左上方的“创建备份策略” 3. 设置备份策略信息，各参数说明如下： 名称 ： 设置备份策略的名称。只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于255个字符。 是否启用 ： 设置备份策略的启用状态。 启用数据库服务器备份（可选）： 启用后，系统将执行应用一致性备份。若同时勾选“应用一致性备份失败后继续备份”，应用一致性备份失败后系统将执行崩溃一致性备份；若不勾选，应用一致性备份失败后将直接产生失败备份。使用应用一致性备份前，请完成安全组更改和成功安装客户端。 备份时间： 设置备份任务在一天之内的执行时间点。最多支持在一天内设置24个备份时间，且任意两个备份时间间隔必须大于等于一小时。如果连续两天进行备份，第一天的最后一次备份时间与第二天的第一次备份时间间隔也需要大于等于一小时。 备份周期 ： 设置备份任务的执行日期。 保留规则： 设置备份产生后的保留规则：按时间，按数量，永久保留。 4. 设置完成后，单击确定，完成备份策略的创建。 5. 在备份策略所在行，单击“绑定服务器” 6. 在服务器列表中勾选需要绑定的服务器，勾选后将在已选服务器区域展示。 7. 单击确定。

本章节介绍WEB场景防护功能 WEB场景防护 Web场景防护功能是一种用于保护提供Web服务的应用程序的防护机制，可以对访问请求中的参数项进行精细化的流量控制。该功能可以用于处理使用主流Web框架（如Servlet容器、Spring Web、SpringBoot）的应用程序，并配置了API粒度的请求参数解析，以便对请求中的IP地址、主机名、头部信息和URL参数等参数维度进行流量控制。通过这种控制，可以保护应用程序和系统的稳定性。 背景信息 在提供Web服务的场景中，除了API维度的限流降级防护，对于来源IP和访问参数等资源调用的限流防护可以更好地保证业务应用的正常运行。在一些大流量的Web业务场景下，可能需要对多个接口进行限制，以保证系统的稳定性。通过对当前访问频次最高的来源IP或访问频次最高的商品序号进行有针对性的限制，可以有效地保护系统。比如： 对于一段时间内最频繁购买的商品序号，可以进行限制以防止击穿缓存导致大量请求到数据库。 对于一段时间内频繁大量访问的来源IP，可以进行限制以防止利用虚假信息恶意刷单。这样可以保证系统的稳定性和可靠性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择流量防护 WEB场景 WEB流控，单击新增WEB防护规则。 5. 在新增WEB防护规则对话框，配置规则信息： 在选择防护场景页面，修改接口名称，然后单击下一步。 在配置防护规则页面，配置防护规则，然后单击下一步。 在配置防护行为页面，然后单击下一步并单击新增。 在下面规则列表的页面，选择对应的规则并在状态栏下单击开启。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包损坏动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包损坏百分比：数据包被损坏的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被损坏。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包损坏动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包损坏百分比：数据包被损坏的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被损坏。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本文主要介绍采集中心 采集中心主要是集中管理、展示APM中支持的采集器插件的入口，在这里可以看到APM中支持的各种采集器插件、指标以及支持的可配置的参数信息。 查看采集器详情 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“配置管理 > 采集中心”，进入APM采集中心。 在这里可以看到APM支持的所有的采集器列表。 步骤 4 在采集器列表中，单击待查看采集器所在行的“查看详情”，进入到采集器信息界面。 图查看采集器详情 步骤 5 在采集器详情界面包含三部分内容：基本信息、采集参数和指标集。 基本信息 该模块主要展示采集器的名称和类型等相关信息。 采集参数 该模块主要展示，该采集器中用户自定义的参数配置，用户进行配置后下发到Java Agent中生效，进行个性采集 指标集 该模块主要展示该采集器中所采集的主要指标信息。 采集器 采集器代表指标数据采集的一个插件，主要由采集器描述、指标集、采集参数等几部分组成。采集器描述对采集器采集的数据进行说明，指标集是规范采集的数据，采集参数可以让用户自定义采集的数据。 数据采集由APM Agent实现采集，比如java性能数据采集通过javaagent来实现。APM Agent采集的数据必须跟采集器的指标集的数据模型定义对应，服务器端才会得到处理。 每一种语言和框架的Agent都定义自己的采集器。 采集器被加到某个环境之后，就被实例化成监控项，这种添加过程一般是自动化的。APM Agent会自动发现应用用到的采集插件，自动将采集器加到环境上形成监控项。比如某个java应用如果通过jdbc的mysql驱动连接数据库，那么mysql的采集器会自动添加到这个环境上，形成监控项。

值 含义 WAFNONE 没有触发策略 WAFBOTHIC 人机挑战 WAFBOTTRAP 爬虫陷阱 WAFBOTCLASS 黑白BOT WAFBOTIDC 数据中心IP WAFBOTSC 静态客户端标识异常 WAFBOTJC 跳转挑战标识异常 WAFBOTTL 爬虫超阈值 WAFBOTDPT 客户端标识解析失败 WAFBOTMIS 客户端标识缺失 WAFBOTNONE 无客户端标识 WAFBOTCAL 节点资源变化异常 WAFBOTSIG 自动化工具识别 WAFBOTSOURCEMAPPING 防调试源映射检测 WAFBOTTIMEDEBUGGER 防调试时间差检测 WAFTCB 威胁管控 WAFATTCL 攻击挑战 WAFWEBSOCKETHIJACK websocket劫持 WAFMINERPROTECT 恶意挖矿防护 WAFXXE XXE WAFTF 第三方框架漏洞 WAFSQU SQUID WAFCOMI 命令注入 WAFWS WEBSHELL WAFINC 文件包含 WAFSCAN 扫描器 WAFRES 服务端回显 WAFSIL 敏感信息泄露 WAFXSS 跨站脚本攻击 WAFSQLI 数据库注入 WAFCOOKIEPROTECT Cookie防护 WAFCSRFDEFENCE CSRF防护 WAFBATCHREGISTERPROTECT 防批量注册 WAFACB 访问控制 WAFRATELIMIT 访问限速 WAFCOMPLIANCECHECK 合规检测 WAFBASEHIT 撞库防护 WAFADPROTECT 广告防护 WAFBRUTEFORCEPROTECT 防暴力破解 WAFSENSITIVEINFORMATIONFILTER 敏感词防护 WAFACW waf加白白名单 WAFOFL 离线分析 WAFCCX Web应用防火墙CC攻击字段为WAFCCX WAFCUSTOMIZE 全站指定响应资源，设置访问日志标记位为 WAFCUSTOMIZE WAFSPECIALCHAR 特殊字符识别 WAFTIP IP情报 WAFSCN 扫描器识别 WAFTPP 网页防篡改

LDAP认证 管理员配置LDAP认证方式，并创建LDAP认证用户。使用“密码登录”验证LDAP用户账户和密码时，通过轻量级目录访问协议，由第三方认证服务器对系统用户进行身份认证。 基本原理：LDAP基于TCP/IP协议的目录访问协议，是Internet上目录服务的通用访问协议，形式一个树状目录类的数据库。 IP：LDAP服务器的IP地址。 端口：根据实际情况选择，默认选择389端口。 用户OU：LDAP中树状形式的组织信息，DN是分支节点到根目录的路径，BaseDN则是基准DN，即LDAP搜索的起始DN为用户的组织单元ou。例如：如果开始搜索的DN的组织单元为ou1，则BaseDN为ouou1，oO。 Azure AD认证 管理员需先在Azure平台创建企业应用程序，并将平台用户加入企业应用程序；再在云堡垒机系统配置Azure AD认证，并添加Azure平台已加入应用程序的用户。使用Azure认证入口验证用户身份时，跳转到Azure登录窗口，输入用户帐号和密码，由第三方认证平台验证通过后，跳转登录云堡垒机系统。 基本原理：Azure AD认证基于SAML协议，通过在Azure平台配置企业应用程序，将Azure AD用作企业使用的应用程序的标识，认证登录用户身份。 登录系统的初始密码是什么？ 系统管理员admin用户首次登录云堡垒机的默认密码，为购买实例时配置的密码。 其他用户首次登录的默认密码是管理员创建用户时配置的密码。 如何重置云堡垒机用户登录密码？ 所有用户首次登录云堡垒机系统时，请务必根据提示绑定手机号，以便忘记密码后重置密码。 已登录过云堡垒机且配置了手机号码的帐号忘记了密码，请参见登录页面重置密码。 普通用户忘记了密码，且不记得配置的手机号码，可通过系统管理员admin或拥有“用户”管理权限的用户重置普通用户密码。具体的操作方法请参见批量重置普通用户密码。 已登录的用户定期修改密码，请参见修改密码。

专属云国产化系列宿主机，搭载全新国产化CPU，提供稳定可预期的超高性能计算服务。专属云已上线海光系列宿主机，可开通海光通用型、海光计算增强型、海光内存优化型云主机。 海光系列宿主机 专属云目前支持订购海光系列通用型、计算增强型、内存优化型宿主机，宿主机上可用于部署hs1、hc1和hm1型的弹性云主机，可满足您高性价比或高稳定性等不同业务场景的需求。 海光通用型 海光通用型宿主机hs1搭载Hygon C86处理器，其上开通的云主机云主机实例共享CPU，可提供基础计算能力，可满足基础业务上云需求。为保证云主机的最佳性能，目前采用CPU亲和策略，宿主机中部分CPU与内存可能会存在碎片化情况。为保证资源更充分利用，可开通规格推荐搭配请咨询客户经理。 海光通用型hs1适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 宿主机规格： 宿主机规格 超配比 CPU信息 虚拟CPU核数（vCPUs） 内存（GB） 海光通用型hs1 可配置，支持1:1，1:2 Hygon 7285，2.0GHz Hygon 7380，2.2GHz 104 651 海光通用型hs1 可配置，支持1:1，1:2 Hygon 7285，2.0GHz Hygon 7380，2.2GHz 104 399 说明 计算专属云规格中的vCPUs计算公式：vCPUs槽位数 CPU核数 单核线程数 CPU开销。 由于实际部署的主机网络功能的软件版本差异，宿主机的内存可用量可能有些许差别。 支持的弹性云主机规格： 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 hs1.small.1 1 1 0.8/0.1 10 1 hs1.medium.2 1 2 0.8/0.1 10 1 hs1.medium.4 1 4 0.8/0.1 10 1 hs1.large.2 2 4 1.5/0.2 15 1 hs1.large.4 2 8 1.5/0.2 15 1 hs1.xlarge.2 4 8 2/0.35 25 1 hs1.xlarge.4 4 16 2/0.35 25 1 hs1.2xlarge.2 8 16 3/0.75 50 2 hs1.2xlarge.4 8 32 3/0.75 50 2 hs1.4xlarge.2 16 32 6/2 100 4 hs1.4xlarge.4 16 64 6/2 100 4

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。

使用前准备 1.天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提 （1）如需使用服务请先完成实名认证，请参考账号中心实名认证。 （2）如需使用按需服务，请确认账号余额≥100 元。 部署OpenClaw应用 步骤一：获取大模型API Key OpenClaw需要调用大模型能力，这里使用天翼云息壤模型推理服务。 1.访问天翼云息壤模型推理服务。 2.点击左侧菜单【服务接入】进入服务接入页面，点击【创建服务组】按钮，在创建服务组页面中选择“DeepSeekV3.2（正式版）”，提交表单。（新用户免费额度为2500万tokens，体验时间为2周） 3. 回到【服务接入】页面，复制您的 APP Key 以供使用。 步骤二：订购并部署 OpenClaw 应用 1. 登录应用托管控制台，选择左侧菜单【应用市场】，点击进入对应页面。 2. 在应用市场页面，选择目标应用，点击【开启应用】，进入应用部署页面。 3. 填写获取的天翼云息壤模型推理服务APP KEY（填入息壤APIKEY），设置OpenClaw的网关密码（用于连接OpenClaw网关），选择访问策略，勾选同意用户协议，点击【部署应用】，即可完成OpenClaw应用服务部署。 访问策略：访问策略为服务的公网访问提供安全防护。应用需选择配置白名单访问策略（不支持黑名单访问策略），且白名单内IP数不超过10个，如没有可用的策略请新建。 白名单配置：点击【访问策略】注释行【去新建】，或直接在【应用访问策略】选择策略信息进行操作，编辑白名单配置，将您的IP地址添加到IP地址/网段，并点击确认即可（见下图）。 获取出口 IP 操作指引：可在官网文档【用户指南应用访问策略访问策略管理】中查看。 重要：建议开启白名单策略防护，避免公网全面暴露带来安全风险。 4.提交表单后进入应用实例列表页面，点击操作栏【访问】按钮，点击下拉访问链接，进入OpenClaw使用界面。

本文介绍HTTP3.0的工作原理和使用说明。 功能介绍 QUIC全称：Quick UDP Internet Connections，是一种实验性传输层网络协议，提供与TLS/SSL相当的安全性，同时具有更低的连接和传输延迟。QUIC目前主要应用于HTTP协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 1. 传输层使用UDP，减少1个RTT三次握手的延迟。 2. 加密协议采用TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流的数据传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移 当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现瞬间卡顿。这是因为，TCP采用四元组（包括源站IP、源站端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态地增加一些FEC数据包，可以减少重传次数，提升传输效率。

本文简述QUIC协议在短视频场景下的最佳实践。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC协议的优势 握手建连更快：QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用：QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移：什么是连接迁移？举个例子，当您用手机使用蜂窝网络参加远程会议，当您把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源地址、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制：QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC）：QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

本节介绍了RabbitMQ元数据迁移的实践。 RabbitMQ元数据迁移指将用户线下实例的rabbitmq实例元数据迁移到线上实例。 背景信息 RabbitMQ集群元数据是指RabbitMQ集群的信息，包括User、Vhost、Queue、Exchange、Binding Key、Permission、Parameter等信息。RabbitMQ集群元数据存储于RabbitMQ集群的内部数据库，在集群的各个节点之间自动复制。集群中的每个节点都有自己的元数据副本。当某个节点的元数据变更时，所有节点的元数据都会同步更新。因此，集群的各个节点的元数据被导出时都是相同的。RabbitMQ集群元数据可以被导出成一份JSON文件，然后被导入另一个RabbitMQ集群，实现RabbitMQ集群元数据备份。 迁移元数据上云是指将开源RabbitMQ集群的元数据迁移到天翼云分布式消息服务RabbitMQ实例。分布式消息服务RabbitMQ是天翼云提供的全托管消息队列服务，兼容开源RabbitMQ。您可以将RabbitMQ集群元数据导出，然后导入分布式消息服务RabbitMQ实例，分布式消息服务RabbitMQ会根据成功导入的元数据在目标分布式消息服务RabbitMQ实例中创建对应的Vhost、Queue、Exchange、Binding，实现RabbitMQ集群元数据迁移上云。您可以将全部Vhost信息导入分布式消息服务RabbitMQ实例，也可以根据需要将某个Vhost信息导入分布式消息服务RabbitMQ实例中的Vhost。 迁移元数据 （1）在RabbitMQ WebUI页面查看，如图所示。 Overview视图中，点击“Download broker definitions”按钮下载集群元数据。得到rabbitmq元数据的json文件。 （2）上线rabbitmq实例导入元数据。 如上图所示，先点击选择文件，选择上一步骤导出的json文件，再点击导入配置。 注意：在线下的Rabbitmq集群中不能含有用户名rabbitmq，否则会被覆盖。用户名rabbitmq是天翼云Rabbitmq内部使用的管理账号。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络延迟动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 延迟时间(毫秒)：为每个数据包增加的固定延迟时长。 延迟浮动值(毫秒)：在固定延迟时长上的随机浮动范围。最终延迟为延迟时间 ± 延迟浮动值，用于模拟更真实的网络抖动