端口 协议 说明 21 FTP FTP服务开放的端口，用于上传和下载文件。 22 SSH SSH端口，用于远程连接Linux弹性云主机。 23 Telnet Telnet端口，用于通过Telnet协议远程登录弹性云主机。 25 SMTP SMTP服务器开放的端口，用于发送邮件。 80 HTTP 使用HTTP协议访问网站。 110 POP3 使用POP3协议接收邮件。 143 IMAP 使用IMAP协议接收邮件。 443 HTTPS 使用HTTPS服务访问网站。 1433 SQL Server SQL Server的TCP端口，用于供SQL Server对外提供服务。 1434 SQL Server SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。 1521 Oracle Oracle通信端口，弹性云主机上部署了Oracle SQL需要放行的端口。 3306 MySQL MySQL数据库对外提供服务的端口。 3389 Windows Server Remote Desktop Services Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云主机。 8080 代理 同80端口一样，8080 端口常用于WWW代理服务，实现网页浏览。如果您使用了8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上:8080 。安装Apache Tomcat服务后，默认服务端口为8080。 137、138、139 NetBIOS NetBIOS协议常被用于Windows文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得NetBIOS/SMB服务。

APM的应用详情包括各类应用性能指标集的各种可视化图表展示。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控 」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用详情」，您可以在应用详情页面切换至不同页签，查看该应用实例相应的指标信息。 指标集 当前已支持指标集见下表，实际展示取决于所选应用是否接入相关服务并产生过数据上报。 类型 内容 JVM监控 内存、GC、线程 其他基础监控 资源监控、Netty内存、Java方法 数据库监控 MySQL、ClickHouse、Postgresql（即将上线）、Elasticsearch、MongoDb、DBCP连接池、Druid连接池、C3P0连接池 缓存监控 Redis、Jedis、Lettuce 消息监控 kafkaConsumer、KafkaProducer、RabbitMqConsumer、RabbitMqProducer Web容器 Tomcat 异常错误分析 异常分析、错误分析 上下游分析 上游应用、下游应用 显示类型 图 通常用于显示趋势图，表示某些指标在筛选时间段内的趋势变化。 （1）单图 （2）双图 如果某个周期内未采集到数据，将会进行补0显示，效果呈现为横坐标为0的横线（或断点）。 支持放大操作。

本节包含了通用计算增强型C3弹性云主机的概述、规格、适用场景。 概述 C3型弹性云主机是新推出的一系列性能更高、计算能力更稳定的弹性云主机规格，搭载英特尔® 至强® 可扩展处理器，配套高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 类型 CPU基频/睿频 CPU型号 ::: C3 3.0GHz/3.4GHz 6151(72HT) 适用场景 对稳定性要求较高的中小型数据库、缓存和搜索集群，以及多种类型和规模的企业级应用场景。 规格 表 C3型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 虚拟化类型 ::::::: c3.large.2 2 4 1.5/0.6 30 2 KVM c3.xlarge.2 4 8 3/1 50 2 KVM c3.2xlarge.2 8 16 5/2 90 4 KVM c3.4xlarge.2 16 32 10/4 130 4 KVM c3.8xlarge.2 32 64 15/8 260 8 KVM c3.15xlarge.2 60 128 17/16 500 16 KVM c3.large.4 2 8 1.5/0.6 30 2 KVM c3.xlarge.4 4 16 3/1 50 2 KVM c3.2xlarge.4 8 32 5/2 90 4 KVM c3.4xlarge.4 16 64 10/4 130 4 KVM c3.8xlarge.4 32 128 15/8 260 8 KVM c3.15xlarge.4 60 256 17/16 500 16 KVM

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文介绍GPU云主机相关的名词概念。 概念 介绍 GPU 图形处理器（Graphics Processing Unit）。相比CPU具有众多计算单元和更多的流水线，适合用于大规模并行计算等场景。 CUDA NVIDIA推出的通用并行计算架构，帮助您使用NVIDIA GPU解决复杂的计算问题。 cuDNN NVIDIA推出的用于深度神经网络的GPU加速库。 镜像 提供了运行实例所需的信息，包括操作系统、初始化应用数据等。 地域和可用区 实例和其他资源的部署物理位置。 SSH密钥对 一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。 安全组 一种虚拟防火墙，您可以基于安全组控制实例的入流量和出流量。 弹性网卡 一种独立的虚拟网卡，可以绑定到弹性云主机或从弹性云主机解绑，实现业务的灵活扩展和迁移。 云硬盘 可弹性扩展的块存储设备，可以用作实例的系统盘或可扩展数据盘使用。 快照 某一时间点云盘数据状态的备份文件，用于备份或者恢复整个云盘。 VPC 虚拟私有云（Virtual Private Cloud）。为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助用户灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

灵活的数据抽取 用户可基于自身需要，可灵活配置数据抽取的增量条件，数据脱敏系统可支持的增量条件包括但不限于：基于时间戳、基于主键或唯一键、基于分区或分片。 水印溯源 支持多种数据水印格式，包括并不限于伪行水印、伪列水印、脱敏水印、内容修改水印、零宽水印： 伪行 伪列水印：通过添加配置比例的数据行或数据列来插入水印信息，当数据泄漏后，通过提取伪行 伪列水印信息来进行泄漏追溯。 脱敏水印：支持基于数据本身特征脱敏水印方式，不影响业务逻辑的同时能有效的避免了水印数据被绕开。 内容修改水印算法：适用于不能影响数据的业务含义并具有较强的业务使用或分析需求的场景，同时隐蔽性要求高。 零宽水印算法：在常见办公软件（office等）或数据库管理软件（dbeaver等）打开时是不可见的，在可视宽度上是不可感知的，不易单独选中。更适用于以文件形式发放数据，在文件中的数据内容中添加水印的场景。

本文为您介绍查看容灾管理中心详情的具体操作。 操作场景 在您创建了容灾管理中心后，可以通过多活容灾服务控制台查看您创建的容灾管理中心的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表中的名称，进入容灾管理中心详情页。 6. 在基础信息部分，可以查看容灾管理中心名称、命名空间、容灾管理中心ID、容灾形态、创建时间、描述信息。 7. 在网络信息部分，可以查看容灾管理中心的虚拟私有云、子网、安全组，以及绑定的ELB、EIP。 8. 在计费信息部分，可查看计费模式，如果计费模式选择的是包年包月，则还查看到期时长。 9. 在分区资源状态部分，查看各分区网络状态、资源同步状态，以及接入的云主机、数据库、存储资源。包含分区的内网状态、公网状态。其中，图标代表可用，图标代表不可用。

优势 多源数据分析免搬迁：关系型数据库RDS中存放车辆和车主基本信息，表格存储中存放实时的车辆位置和健康状态信息，数据仓库DWS中存放周期性统计的指标。通过DLI无需数据搬迁，对多数据源进行联邦分析。 数据分级存储：车企需要保留全量历史数据支撑审计类等业务，低频进行访问。温冷数据存放在低成本的对象存储服务OBS上，高频访问的热数据存放在数据引擎（DWS）中，降低整体存储成本。 告警快速敏捷触发服务器弹性伸缩：对CPU、内存、硬盘空间和带宽无特殊要求。 建议搭配以下服务使用： CDM、OBS、DWS。 大数据ETL处理 运营商大数据分析 运营商数据体量在PB~EB级，其数据种类多，有结构化的基站信息数据，非结构化的消息通信数据，同时对数据的时效性有很高的要求，DLI服务提供批处理、流处理等多模引擎，打破数据孤岛进行统一的数据分析。 优势 大数据ETL：具备TB~EB级运营商数据治理能力，能快速将海量运营商数据做ETL处理，为分布式批处理计算提供分布式数据集。 高吞吐低时延：采用Apache Flink的Dataflow模型，高性能计算资源，从用户自建的Kafka、MRSKafka、DMSKafka消费数据，单CU每秒吞吐1千~2万条消息。 建议搭配以下服务使用： OBS、DataArts Studio。

连接操作Joins Join Example Inner join SELECT p.firstname, p.lastname, p.gender, dogs.name FROM people p JOIN dogs d ON d.holdersName p.firstname WHERE p.age > 12 AND d.age > 1 Left outer join SELECT p.firstname, p.lastname, p.gender, dogs.name FROM people p LEFT JOIN dogs d ON d.holdersName p.firstname Cross join SELECT p.firstname, p.lastname, p.gender, dogs.name FROM people p CROSS JOIN dogs d 相关约束和限制，参考“连接操作Joins”。 展示Show 展示show操作与索引模式匹配的索引和映射。您可以使用或%使用通配符。 展示show Show Example Show tables like SHOW TABLES LIKE logs 连接操作Joins Open Distro for Elasticsearch SQL支持inner joins, left outer joins,和cross joins。Join操作有许多约束： 您只能加入两个参数。 您必须为索引使用别名（例如people p）。 在ON子句中，您只能使用AND条件。 在WHERE语句中，不要将包含多个索引的树组合在一起。例如，以下语句有效： WHERE (a.type1 > 3 OR a.type1 4 OR b.type2 3 OR b.type2 4 OR b.type2 < 1) 您不能使用GROUP BY或ORDER BY来获得结果。 LIMIT和OFFSET不支持一起使用（例如LIMIT 25 OFFSET 25）。 JDBC驱动 Java数据库连接（JDBC）驱动程序允许您将Open Distro for Elasticsearch与您的商业智能（BI）应用程序集成。

本文为您介绍DRDS实例的全局日志(全局Binlog),以及使用流程。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 全局Binlog介绍 DRDS实例的全局日志（全局Binlog）是一种二进制日志文件，内容包括该DRDS实例所有的DML操作以及DDL操作，同时为了便于一致性恢复，全局Binlog中也包含DRDS实例元数据和全局一致性位点信息。DRDS全局Binlog兼容MySQL Binlog格式，由CDC（Change Data Capture）节点生成。CDC节点完全兼容MySQL的Binlog dump协议，第三方程序可以像消费（即使用工具实时解析或处理全局Binlog，或进行数据同步等）单个MySQL实例的Binlog一样消费全局Binlog。 工作原理 DRDS由计算节点（Compute Node，简称CN）和存储节点（Data Node，简称DN）组成，存储节点为独立的RDS实例。CDC会存储DRDS实例的元信息，例如逻辑库和逻辑表的对应关系、物理库与物理表的对应关系、白名单表等。CDC使用dump协议，以slave的角色从各DN节点拉取Local Binlog（即RDS产生的Binlog），然后对Local Binlog进行整形、去重、合并等，最终生成全局Binlog。DRDS实例全局Binlog架构如下： 全局Binlog完全采用单机MySQL Binlog的格式，能够提供与单机MySQL数据库相同的使用体验。同时CDC支持dump协议，无论是将全局Binlog日志同步到下游的大数据系统，还是作为DRDS实例的的备份，均可通过直接订阅全局Binlog来实现。您只需在创建DRDS实例后，创建日志节点并完成初始化（也可以在创建DRDS实例时同步创建日志节点，待创建完毕后，再进行日志节点初始化操作），即可生成全局Binlog日志。 注意 开启日志节点后，当您续订或删除DRDS实例时，会同步续订或删除日志节点。

本页介绍天翼云TeleDB数据库如何查看慢SQL诊断页面。 1. 单击诊断 ，进入慢SQL诊断页面。 2. 查看SQL诊断优化结果。 3. 单击实际执行 计划，查看慢SQL对应实际执行计划。 4. 单击执行 ，查看实际执行计划。 5. 单击确定 ，确认要查看实际执行计划。 6. 单击重新执行 ，会再次执行查询当前慢SQL实际执行计划的语句。 7. 下滑滚轮，查看执行计划可视化。 8. 单击索引建议 ，查看当前慢SQL的索引优化建议。 9. 查看索引优化建议。 10. 单击语句优化建议 ，查看语句优化建议。 11. 单击查看参考案例 。 12. 查看参考案例。 13. 单击确定 ，返回SQL诊断优化页面。 14. 返回SQL诊断优化页面。 15. 单击确定 ，返回慢查询分析页面。 16. 返回慢查询分析页面。

本页介绍天翼云TeleDB数据库如何查看慢SQL诊断页面。 1. 单击诊断 ，进入慢SQL诊断页面。 2. 查看SQL诊断优化结果。 3. 单击实际执行 计划，查看慢SQL对应实际执行计划。 4. 单击执行 ，查看实际执行计划。 5. 单击确定 ，确认要查看实际执行计划。 6. 单击重新执行 ，会再次执行查询当前慢SQL实际执行计划的语句。 7. 下滑滚轮，查看执行计划可视化。 8. 单击索引建议 ，查看当前慢SQL的索引优化建议。 9. 查看索引优化建议。 10. 单击语句优化建议 ，查看语句优化建议。 11. 单击查看参考案例 。 12. 查看参考案例。 13. 单击确定 ，返回SQL诊断优化页面。 14. 返回SQL诊断优化页面。 15. 单击确定 ，返回慢查询分析页面。 16. 返回慢查询分析页面。

本文主要介绍了读写分离的配置与使用。 特性 会话不开启事务，读语句直接发送到slave执行。 会话开启事务，读语句发送到master上执行。这样才能保证同个事务内的数据可见。 开启读写分离 DRDS使用以下两种方式开启读写分离功能： 配置DRDS balance参数。 在select语句前增加 / !HINT({"balance":"?"})/ 注解。 方式一：读写分离属性配置 您可以在控制台设置读写分离，支持的配置如下。具体操作，请参见关联MySQL设置。 关闭 ：即balance 0，表示不开启读写分离，所有语句均发往写节点。 读语句发往读库 ：即balance 1，表示开启读写分离，所有事务外(autocommit1)的SELECT语句发往读节点；所有事务内(autocommit0)的语句发往写节点。 读语句随机发往读库和写库 ：即balance 2，表示开启读写分离，所有事务外(autocommit1)的SELECT语句随机发往读节点或写节点；所有事务内(autocommit0)的语句发往写节点。 自定义权重 ：即banlance 3，表示开启读写分离，支持根据实际情况，设置自定义读写分离权重。 方式二：HINT语句 使用 / !HINT({"balance":"?"})/ 注解可以强制指定 select 语句按照指定规则进行读写分离， balance 有三种取值方式，与DRDS的 balance 属性类似： / !HINT({"balance":"0"})/ 强制 select 语句发往写节点 。 / !HINT({"balance":"1"})/ 强制 select 语句发往读节点 。 / !HINT({"balance":"2"})/ 强制 select 语句随机发往数据库读节点或写节点。 注意 insert, update, delete语句在任何情况下都将发往写节点，所以读写分离实际只针对select语句。 / !HINT({"balance":"?"})/ 的读写分离规则优先级高于配置 balance 属性。 配置 balance 属性进行读写分离需结合 autocommit1 使用，而 / !HINT({"balance":"?"})/ 方式不需要。

本页介绍了 WriteConcern 的概念以及如何使用 WriteConcern 提升数据安全。 文档数据库服务实例采用多副本存储数据，其中一个副本的角色是 primary 接受数据写入，其他节点通过 oplog 同步数据变更。 如果 primary 节点在成功写入数据后就宕机了，但是数据还没有被其他 secondary 节点同步。此时后台会重新选举一个正常的 secondary节点为新 primary 节点，但是这个新 primary 节点不包含最新写入的数据。而原 primary 节点在修复完成并重新加入到副本集之后会成为 secondary 节点，之前最新写入的数据会进行 rollback。 为了避免 primary 节点意外宕机导致部分数据被回滚的情况，用户可以指定 write concern 设置写入级别，指定数据成功复制到多少个节点之后再返回。 Write concern 指定的格式如下： { w: , j: , wtimeout: } 其中 w 指定了数据成功复制到多少个 mongod 节点之后再返回结果给客户端（包含 primary 节点自己），常用的配置包括： 数字。比如 0、1 等。 "majority"。服务端会根据副本集当前有投票权的节点个数自动计算大多数节点的个数，比如 3 个 mongod 节点的副本集，每个 mongod 节点默认都有投票权限，则 "majority" 个数为 2。 参数 j 表示是否后台写完 journal 再返回成功，可以指定为 true 或者 false。如果 w 指定了 “majority”，则默认 j 为 true。 wtimeout 表示操作的执行超时，以毫秒为单位，在 w 大于 1 时生效。 对于 3 副本的节点，建议 w 指定为 "majority"，并根据业务的实际需求指定 wtimeout。这样可以避免主节点在意外宕机后出现的部分数据丢失，通过能兼顾较好的可用性。使用示例如下： db.coll.insert({a:1}, {writeConcern: {w: "majority", wtimeout: 1000}})

本页介绍天翼云TeleDB数据库高可用管理。 操作场景 该任务用于对实例进行高可用设置。包括数据可靠策略、自动切换、优先切换和切换频率等。 数据可靠策略：在同region全强同步、First或Any复制模式下，如果备节点丢失，系统会自适应调整数据同步方式，并将对应的备机同步方式降级为异步，避免主节点写操作阻塞，保证系统响应能力。 自动切换：当主节点故障时，会自动选择一个最新的备节点升主。该操作只针对主节点，如果没有开启优先切换开关，会先尝试拉起操作，无法拉起则执行主备切换。如果开启了优先切换开关，则不尝试拉起操作，直接主备切换。该开关只在主从复制为同步模式时才能触发。 优先切换：当主节点故障时，系统会尝试先拉起节点，节点拉起失败时才进行主备切换。当该开关开启时，则不进行拉起操作直接进行主备切换。该开关只在自动切换开启的情况下才生效。 切换频率：一个小时以内允许触发自动切换的最大次数，当自动切换开关开启时才生效。 注意 自动切换和优先切换有关联关系，只有在自动切换开启的情况下，优先切换才会生效，所以自动切换关闭的情况下，优先切换也要关闭。但是自动切换开启的情况下，优先切换可以不开启。 操作步骤 1. 切换至TeleDB控制台，在左侧导航单击实例列表 。 2. 单击目标实例所在行的详情 ，进入实例详情页面。 3. 进入详情页面，单击高可用管理 。 4. 单击配置 ，修改为需要的配置。 5. 单击提交 ，完成高可用设置。

本页介绍天翼云TeleDB数据库高可用管理。 操作场景 该任务用于对实例进行高可用设置。包括数据可靠策略、自动切换、优先切换和切换频率等。 数据可靠策略：在同region全强同步、First或Any复制模式下，如果备节点丢失，系统会自适应调整数据同步方式，并将对应的备机同步方式降级为异步，避免主节点写操作阻塞，保证系统响应能力。 自动切换：当主节点故障时，会自动选择一个最新的备节点升主。该操作只针对主节点，如果没有开启优先切换开关，会先尝试拉起操作，无法拉起则执行主备切换。如果开启了优先切换开关，则不尝试拉起操作，直接主备切换。该开关只在主从复制为同步模式时才能触发。 优先切换：当主节点故障时，系统会尝试先拉起节点，节点拉起失败时才进行主备切换。当该开关开启时，则不进行拉起操作直接进行主备切换。该开关只在自动切换开启的情况下才生效。 切换频率：一个小时以内允许触发自动切换的最大次数，当自动切换开关开启时才生效。 注意 自动切换和优先切换有关联关系，只有在自动切换开启的情况下，优先切换才会生效，所以自动切换关闭的情况下，优先切换也要关闭。但是自动切换开启的情况下，优先切换可以不开启。 操作步骤 1. 切换至TeleDB控制台，在左侧导航单击实例列表 。 2. 单击目标实例所在行的详情 ，进入实例详情页面。 3. 进入详情页面，单击高可用管理 。 4. 单击配置 ，修改为需要的配置。 5. 单击提交 ，完成高可用设置。

业务场景分析 多个并发请求同时修改同一份数据， 比如多个营业员并发对同一个客户的资料进行修改。 同时修改同一份数据会并发冲突，导致数据不正确的可能，对业务产生不可预估的影响。目前几乎很多大型网站及应用都是分布式部署的，分布式场景中的数据一致性问题一直是一个比较重要的话题。 解决方案 对于分布式锁可以基于数据库实现分布式锁，但带来的问题是性能不足，无法满足大型应用的高并发使用场景。这时基于缓存（Redis等）去实现分布式锁，带来了显著性能优势。 Redis实现分布式锁的原理是基于: 存在判断KEY是否存在的命令，以及KEY设置TTL，防止死锁的机制。 下面是一个简单的实现思路： （1）获取锁的时候，使用setnx加锁，并使用expire命令为锁添加一个超时时间，超过该时间则自动释放锁，锁的value值为一个随机生成的UUID，通过此在释放锁的时候进行判断。 （2）获取锁的时候还设置一个获取的超时时间，若超过这个时间则放弃获取锁。 （3）释放锁的时候，通过UUID判断是不是该锁，若是该锁，则执行delete进行锁释放。 由于开源已经有非常多成熟的方案， 下面是基于redisson（一个开源的JAVA redis库）实现分布式锁，可参考如下示例： maven org.redisson redisson 3.25.0 示例代码 RLock lock redisson.getLock("myLock"); // traditional lock method lock.lock(); // or acquire lock and automatically unlock it after 10 seconds lock.lock(10, TimeUnit.SECONDS); // or wait for lock aquisition up to 100 seconds // and automatically unlock it after 10 seconds boolean res lock.tryLock(100, 10, TimeUnit.SECONDS); if (res) { try { ... } finally { lock.unlock(); } }

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

本文介绍了RDS PostgreSQL数据存储空间相关资费信息。 天翼云PostgreSQL数据库的数据存储空间服务，其价格如下表： 产品规格 存储类型 包月标准价格（元/GB/月） 按需标准价格（元/GB/小时） 单机实例 SATA（普通IO） 0.3 0.0005 单机实例 SAS（高IO） 0.4 0.0009 单机实例 通用型SSD 0.7 0.00097 单机实例 SSD（超高IO） 1.2 0.0017 单机实例 极速型SSD 2 0.0042 单机实例 XSSD0 0.5 0.00105 单机实例 XSSD1 1 0.0021 单机实例 XSSD2 2 0.0042 主备实例 SATA（普通IO） 0.5 0.0009 主备实例 SAS（高IO） 0.7 0.0015 主备实例 通用型SSD 1.4 0.00155 主备实例 SSD（超高IO） 2 0.0028 主备实例 极速型SSD 3.2 0.0068 主备实例 XSSD0 0.8 0.00168 主备实例 XSSD1 1.6 0.0034 主备实例 XSSD2 3.2 0.0068 一主两备实例 SATA（普通IO） 0.75 0.00157 一主两备实例 SAS（高IO） 1.05 0.00219 一主两备实例 通用型SSD 2.1 0.00233 一主两备实例 SSD（超高IO） 3 0.00625 一主两备实例 极速型SSD 4.8 0.0101 一主两备实例 XSSD0 1.2 0.00252 一主两备实例 XSSD1 2.4 0.0051 一主两备实例 XSSD2 4.8 0.0099 只读实例 SATA（普通IO） 0.0005 只读实例 SAS（高IO） 0.0009 只读实例 通用型SSD 0.00097 只读实例 SSD（超高IO） 0.0017 只读实例 极速型SSD 0.0042 只读实例 XSSD0 0.00105 只读实例 XSSD1 0.0021 只读实例 XSSD2 0.0042 包年预付费优惠政策：1年85折，2年7折，3年、4年、5年均享受5 折优惠。

本文向您介绍Windows云主机如何配置多用户登录(Windows 2012)。 操作场景 本文档指导您配置Windows云主机实现多用户登录，以Windows Server 2012标准版R2中文版操作系统的云主机为例。 说明 远程桌面授权仅支持120天，过期后将因缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需激活远程桌面授权。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考 操作须知 请确保云主机带宽资源充足，避免由于多用户同时操作负载过高导致云主机卡顿或登录异常。 所在安全组入方向已开放云主机登录使用的端口，默认使用3389端口。 云主机已经绑定弹性公网IP。 配置多用户登录后，不同的用户登录云服务器操作互相之间无影响。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考多用户登录Windows主机时无法打开浏览器。 操作步骤 步骤一：安装桌面会话主机和远程桌面授权。 1. 登录弹性云主机。 2. 在操作系统界面， 打开“服务器管理器”，单击“添加角色和功能”。 3. 保持默认参数，单击“下一步”。 4. 左侧导航栏选择“安装类型”，选择“基于角色或基于功能的安装”，单击“下一步”。 5. 左侧导航栏选择“服务器选择”，选择“从服务器池中选择服务器”，单击“下一步”。 6. 左侧导航栏选择“服务器角色”，选择“远程桌面服务”，单击“下一步”。 7. 左侧导航栏选择“功能”，在此页面保持默认参数，单击两次“下一步”。 8. 左侧导航栏选择“角色服务”，在此界面依次选择“远程桌面会话主机”和“远程桌面授权”，在弹出的窗口单击“添加功能”，单击“下一步”。 9. 确认在云主机上安装的角色，单击“安装(I)”。 10. 安装完成后，重启云主机。 第二步：允许多用户远程连接云主机。 1. 在运行里输入 gpedit.msc，打开计算机本地组策略 2. 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”，并依次设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面” 3. 右键单击“编辑”，设置“允许用户通过使用远程桌面服务进行远程连接”设置为“已启用”。 4. 右键单击“编辑”，设置“限制连接数量”选择为已启用，可根据具体数量设置，这里示例将允许的RD最大连接数设置为999。 5. 右键单击“编辑”，“将远程桌面服务用户限制到单独的远程桌面”选择已启用，或者已禁用，请注意此处已启用和已禁用的区别。本示例勾选“已启用”。 说明 l 已启用：多个用户同时登录的多用户登录，不能单个用户多登录 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是不支持用户A、用户B、用户C使用同一个账号同时登录云主机 l 已禁用：单个用户同时多个登录的多用户登录 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机 6. 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 第三步：配置新用户并加入远程桌面用户组。 1. 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 2. 单击“用户”，在空白处右键选择新用户。 3. 填写新用户信息，单击“创建”。 4. 单击“组”，双击打开Remote Desktop Users组，单击“添加”。 5. 进入选择用户界面，单击“高级”。 6. 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 7. 单击“确定”，添加用户到Remote Dsektop Users组。

本节主要介绍使用V2签名时的HttpURLConnection开发。 应用场景 V2签名下，使用HttpURLConnection开发。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 可以参考下列示例进行HttpURLConnection开发。 import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.io.OutputStream; import java.io.UnsupportedEncodingException; import java.net.HttpURLConnection; import java.net.URL; import java.net.URLEncoder; import java.nio.charset.StandardCharsets; import java.text.SimpleDateFormat; import java.util.Arrays; import java.util.Base64; import java.util.Date; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Locale; import java.util.Map; import java.util.SortedMap; import java.util.TimeZone; import java.util.TreeMap; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; public class OOSDemoForV2Signer { private static final String DATESTR "EEE, d MMM yyyy HH:mm:ss 'GMT'"; private static final SimpleDateFormat DATEFMT new SimpleDateFormat(DATESTR, Locale.ENGLISH); static { TimeZone gmt TimeZone.getTimeZone("GMT"); DATEFMT.setTimeZone(gmt); } private static final String OOSACCESSKEY "your ak"; private static final String OOSSECRETKEY "your sk"; private static final String OOSENDPOINT "ooscn.ctyunapi.cn"; private static final String OOSOBJECTCONTENT "yourobjectcontent"; private static final int CONNTIMEOUT 30000; private static final int READTIMEOUT 30000; public void putObject(String bucket, String objectKey) { try { Map headers new HashMap<>(); headers.put("ContentType", "text/plain"); headers.put("xamzdate", "xxxx"); HttpURLConnection connection generateConnection("PUT", bucket, objectKey, headers); connection.setFixedLengthStreamingMode(OOSOBJECTCONTENT.length()); connection.setDoOutput(true); connection.connect(); byte[] requestBody OOSOBJECTCONTENT.getBytes(); try (OutputStream outputStream connection.getOutputStream()) { outputStream.write(requestBody); } int responseCode connection.getResponseCode(); if (responseCode 200) { System.out.println("put object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { e.printStackTrace(); } } public void getObject(String bucket, String objectKey) { try { HttpURLConnection connection generateConnection("GET", bucket, objectKey, null); connection.connect(); int responseCode connection.getResponseCode(); // 在responseCode为200 的情况下， 可将connection.getInputStream()的对象数据读出。 if (responseCode 200) { System.out.println("get object success"); } try (InputStream inputStream responseCode 200 ? connection.getInputStream() : connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } public void deleteObject(String bucket, String objectKey) { try { HttpURLConnection connection generateConnection("DELETE", bucket, objectKey, null); connection.connect(); int responseCode connection.getResponseCode(); if (responseCode 204) { System.out.println("delete object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } / 1 并不是headers里的所有头域，都参与计算签名。详情请参照 3.1.1章节StringToSign的构成说明 2 任何头以xamzmeta这个前缀开始都会被认为是用户的元数据，当用户检索时，它将会和对象一起被存储并返回。 PUT请求头大小限制为8KiB。在PUT请求头中，用户定义的元数据大小限制为2KiB。 例：headers.put("xamzmetatest", "oos"); / private HttpURLConnection generateConnection(String method, String bucket, String objectKey, Map headers) throws Exception { if (headers null) { headers new TreeMap<>(); } if (!headers.containsKey("Date")) { String date DATEFMT.format(new Date()); headers.put("Date", date); } Map querys new HashMap<>(32); // 设置查询参数示例，可按需选择是否在请求url上设置查询参数。更多接口参数请参考《OOS开发者文档v6》 querys.put("responsecontenttype", "application/octetstream"); String authorization v2Sign(method, bucket, objectKey, headers, querys); String requestUrl " + bucket + "." + OOSENDPOINT + "/" + urlEncode(objectKey, false); if (querys.size() ! 0) { requestUrl + "?" + encodeParameters(querys); } URL url new URL(requestUrl); HttpURLConnection connection (HttpURLConnection)url.openConnection(); connection.setRequestProperty("Authorization", authorization); connection.setConnectTimeout(CONNTIMEOUT); connection.setReadTimeout(READTIMEOUT); connection.setRequestMethod(method); if (null ! headers) { headers.forEach(connection::setRequestProperty); } return connection; } private String encodeParameters(Map querys) { StringBuilder builder new StringBuilder(); Iterator > pairs querys.entrySet().iterator(); while (pairs.hasNext()) { Map.Entry pair pairs.next(); builder.append(urlEncode(pair.getKey(), false)); builder.append(""); builder.append(urlEncode(pair.getValue(), false)); if (pairs.hasNext()) { builder.append("&"); } } return builder.toString(); } // 以下是签名计算相关方法 / The set of request parameters which must be included in the canonical string to sign. / private static final List SIGNEDPARAMETERS Arrays.asList("acl", "torrent", "logging", "location", "policy", "requestPayment", "versioning", "versions", "versionId", "notification", "uploadId", "uploads", "partNumber", "website", "delete", "lifecycle", "tagging", "cors", "restore", "responsecachecontrol", "responsecontentdisposition", "responsecontentencoding", "responsecontentlanguage", "responsecontenttype", "responseexpires"); private String v2Sign(String method, String bucket, String objectKey, Map headers, Map querys) throws Exception { String canonicalString getCanonicalString(method, toResourcePath(bucket, objectKey), headers, querys); String signature sign(canonicalString); return "AWS " + OOSACCESSKEY + ":" + signature; } private String sign(String data) throws Exception { try { Mac mac Mac.getInstance("HmacSHA1"); mac.init(new SecretKeySpec(OOSSECRETKEY.getBytes(StandardCharsets.UTF8), "HmacSHA1")); byte[] bs mac.doFinal(data.getBytes(StandardCharsets.UTF8)); return Base64.getEncoder().encodeToString(bs); } catch (Exception e) { throw new Exception("Unable to calculate a request signature: " + e.getMessage(), e); } } / Calculate the canonical string for a REST/HTTP request to OOS. When expires is nonnull, it will be used instead of the Date header. / private String getCanonicalString(String method, String resource, Map headers, Map querys) { StringBuilder buf new StringBuilder(); buf.append(method).append("n"); SortedMap interestingHeaders new TreeMap<>(); if (headers ! null && headers.size() > 0) { for (Map.Entry entry : headers.entrySet()) { String key entry.getKey(); String value entry.getValue(); if (key null) { continue; } String lk key.toLowerCase(Locale.getDefault()); if ("contenttype".equals(lk) "contentmd5".equals(lk) "date".equals(lk) lk.startsWith("xamz")) { interestingHeaders.put(lk, value); } } } // Remove default date timestamp if "xamzdate" is set. if (interestingHeaders.containsKey("xamzdate")) { interestingHeaders.put("date", ""); } // These headers require that we still put a new line in after them, // even if they don't exist. if (!interestingHeaders.containsKey("contenttype")) { interestingHeaders.put("contenttype", ""); } if (!interestingHeaders.containsKey("contentmd5")) { interestingHeaders.put("contentmd5", ""); } // Any parameters that are prefixed with "xamz" need to be included // in the headers section of the canonical string to sign if (querys ! null) { for (Map.Entry parameter : querys.entrySet()) { if (parameter.getKey().toLowerCase().startsWith("xamz")) { interestingHeaders.put(parameter.getKey().toLowerCase(), parameter.getValue()); } } } for (Map.Entry entry : interestingHeaders.entrySet()) { String key entry.getKey(); Object value entry.getValue(); if (key.toLowerCase().startsWith("xamz")) { buf.append(key).append(':').append(value); } else { buf.append(value); } buf.append("n"); } buf.append(resource); if (querys ! null) { String[] parameterNames querys.keySet().toArray(new String[0]); Arrays.sort(parameterNames); char separator '?'; for (String parameterName : parameterNames) { // Skip any parameters that aren't part of the canonical signed string if (!SIGNEDPARAMETERS.contains(parameterName)) { continue; } buf.append(separator); buf.append(parameterName); String parameterValue querys.get(parameterName); if (parameterValue ! null && !"".equals(parameterValue)) { buf.append("").append(parameterValue); } separator '&'; } } return buf.toString(); } private String toResourcePath(String bucket, String objectKey) { String resourcePath "/" + ((bucket ! null && !"".equals(bucket)) ? bucket : "") + ((objectKey ! null) ? "/" + objectKey : ""); return urlEncode(resourcePath, true); } / @param keepPathSlash 实际上，根据RFC 3986规范，url中的 '/'和'~' 可以不用转译，URLEncoder做了转译，但是为了兼容浏览器解析文件名，要求 '/'和'~'不能做转译。 @param url 客户请求的url，也就是object key @return 转译后的url / private String urlEncode(String url, boolean keepPathSlash) { String encoded; try { encoded URLEncoder.encode(url, StandardCharsets.UTF8.toString()); } catch (UnsupportedEncodingException e) { throw new RuntimeException("UTF8 encoding is not supported.", e); } if (keepPathSlash) { // Web browsers do not always handle '+' characters well, use the wellsupported '%20' instead. encoded encoded.replaceAll("+", "%20"); // Change all "%2F" back to "/", so that when users download a file in a virtual folder by the presigned // URL, // the web browsers won't mess up the filename. (e.g. 'folder1folder2filename' instead of 'filename') encoded encoded.replace("%2F", "/"); encoded encoded.replace("%7E", "~"); } return encoded; } public static void main(String[] args) { String bucket "your bucket"; String objectKey "your object key"; OOSDemoForV2Signer v2 new OOSDemoForV2Signer(); v2.putObject(bucket, objectKey); v2.getObject(bucket, objectKey); v2.deleteObject(bucket, objectKey); } }

参数名 说明 取值样例 写入目录 写入数据到HDFS服务器的目录。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 /user/output 文件格式 写入后的文件格式，可选择以下文件格式： CSV格式：按CSV格式写入，适用于数据表到文件的迁移。 二进制格式：选择“二进制格式”时不解析文件内容直接传输，CDM会原样写入文件，不改变原始文件格式，适用于文件到文件的迁移。 如果是文件类数据源（FTP/SFTP/HDFS/OBS）之间相互迁移数据，此处的“文件格式”只能选择与源端的文件格式一致。 CSV格式 重复文件处理方式 只有文件名和文件大小都相同才会判定为重复文件。写入时如果出现文件重复，可选择如下处理方式： 替换重复文件 跳过重复文件 停止任务 停止任务 压缩格式 写入文件后，选择对文件的压缩格式。支持以下压缩格式： NONE：不压缩。 DEFLATE：压缩为DEFLATE格式。 GZIP：压缩为GZIP格式。 BZIP2：压缩为BZIP2格式。 LZ4：压缩为LZ4格式。 SNAPPY：压缩为SNAPPY格式。 SNAPPY 换行符 文件中的换行符，默认自动识别“n”、“r”或“rn”。“文件格式”为“二进制格式”时该参数值无效。 n 字段分隔符 文件中的字段分隔符。“文件格式”为“二进制格式”时该参数值无效。 , 使用包围符 “文件格式”为“CSV格式”，才有该参数，用于将数据库的表迁移到文件系统的场景。 选择“是”时，如果源端数据表中的某一个字段内容包含字段分隔符或换行符，写入目的端时CDM会使用双引号（"）作为包围符将该字段内容括起来，作为一个整体存储，避免其中的字段分隔符误将一个字段分隔成两个，或者换行符误将字段换行。例如：数据库中某字段为hello,world，使用包围符后，导出到CSV文件的时候数据为"hello,world"。 否 首行为标题行 在迁移表到CSV文件时，CDM默认是不迁移表的标题行，如果该参数选择“是”，CDM在才会将表的标题行数据写入文件。 否 写入到临时文件 将二进制文件先写入到临时文件（临时文件以“.tmp”作为后缀），迁移成功后，再进行rename或move操作，在目的端恢复文件。 否 作业成功标识文件 当作业执行成功时，会在写入目录下生成一个标识文件，文件名由用户指定。不指定时默认关闭该功能。 finish.txt 自定义目录层次 支持用户自定义文件的目录层次。例如：【表名】/【年】/【月】/【日】/【数据文件名】. csv 目录层次 指定文件的目录层次，支持时间宏（时间格式为yyyy/MM/dd）。不填默认为不带层次目录。例如：${dateformat(yyyy/MM/dd, 1, DAY)} 加密方式 “文件格式”选择“二进制格式”时，该参数才显示。 选择是否对写入的数据进行加密： 无：不加密，直接写入数据。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 AES256GCM 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成。 请您牢记这里配置的“数据加密密钥”，解密时的密钥与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成。 请您牢记这里配置的“初始化向量”，解密时的初始化向量与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F

本文介绍如何使用异常行为智能识别。 功能介绍 基于智能算法和大数据行为分析，分析客户业务流量的特征，智能识别攻击和误拦截请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为旗舰版及以上版本。 设置异常行为智能识别模型 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【智能防护】菜单，选择【异常行为智能识别】模块。 3. 选择业务适合的【分析模型】，模型配置说明如下： 配置说明 配置项 说明 开关 分析模型开关。 开关开启，模型运行； 开关关闭，模型停止运行。 分析域名 选择需要分析的对象，选择已经完成接入服务的域名。 异常判断条件 不同分析模型的分析条件不同，您可以根据实际的业务场景选择适合的模型。 异常客户端IP识别多UA：适用于单客户端IP有多UA的攻击特征； 异常客户端IP识别扫描大量URL：适用于单客户端IP扫描大量URL的攻击特征； 异常客户端IP识别攻击集中少量URL：适用于单客户端IP集中攻击少量URL的攻击特征； 异常客户端IP识别反复触发策略：适用于单客户端IP反复触发访问控制/频率控制/CC防护策略的攻击特征； 异常客户端IP+UA识别反复攻击少量URL：适用于单客户端（IP+UA），反复攻击少量的URL的攻击特征； 异常UA识别识别单客户端IP变更UA扫描：适用于单客户端IP变更UA扫描的攻击特征。 分析频率 分析频率为分析任务执行频率；统计周期超过12小时，建议分析频率设置大于等于5分钟；统计周期达到24小时，建议分析频率设置大于等于10分钟。 URL是否统计问号后参数 统计URL的范围是否包含问号后参数。 注意 如果我们开放的分析模型不能满足您的需求，请通过

类型 限制项 默认配额 备注 数据查询 最大查询时间范围 11000 暂不支持调整 数据查询 单次接口查询超时时间 30秒 暂不支持调整 数据查询 单次查询最多扫描时间线数量 2万 可提交工单申请扩容，扩容不会对之前上报数据生效。 数据查询 单次查询扫描最大数据量 1000万 暂不支持调整 数据查询 单次查询返回的最大数据量 100万 暂不支持调整 数据查询 最大查询QPS 50QPS 暂不支持调整 数据采集和上报 每个数据点最大支持大小 32kB，超过会解析失败 暂不支持调整 数据采集和上报 每个用户最大时间线数量 实际上系统会在到达限额之前为您自动做相关的扩容，因此您无需关注该限制。 数据采集和上报 每次上报请求总数据量大小 不超过1MB（最多一次上报1024个指标，因此理论上不会超过） 不支持调整，超过1 MB数据会被全部丢弃。 数据采集和上报 单指标Label长度限制 Label Key或者Label Value字符串长度不超过256个字符。 不支持调整，超限会被调换为MAXTAGVALUELIMITED 数据采集和上报 单个指标的标签数限制 64个 超出可能会造成数据丢失 数据采集和上报 默认数据保存时长 Prometheus实例 for 云服务默认保存30天，其他类型实例默认保存15天。 您可在控制台自行调整数据存储时长。 数据采集和上报 Agent单副本默认配置（3核4 G）一次最多能采集的数据点数 350万 建议您扩容副本 数据采集和上报 Agent单副本默认配置（3核4 G）最大采集Target数 1000个 建议您扩容副本 数据采集和上报 1个Target 30秒内可以最大可采集的数据点数 60万 建议您扩容副本 数据采集和上报 Agent HPA最大副本数 20 若超限，您可在控制台手动增加副本数。 数据采集和上报 Agent 支持的ACK集群版本 待测 建议您升级Kubernetes版本 告警 告警规则查询返回结果数 500 其他 单集群Recording Rules数量上限 100 超限不限制使用，但是计算可能会有延迟 其他 共享版Grafana每个租户最多能创建的Folder数量 10

该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。 前提条件 已获取管理控制台的登录账号与密码。 已添加Linux主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。 8. 单击“确定”，Linux主机授权成功。

本节介绍如何通过漏洞扫描服务为Linux系统的主机配置跳板机。 操作场景 该任务指导用户通过漏洞扫描服务为Linux系统的主机配置跳板机。 说明 当前仅支持添加Linux系统跳板机。 前提条件 已获取管理控制台的登录账号和密码。 已添加Linux系统的主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要添加跳板机的主机，单击“批量配置跳板机”。 说明 用户也可以单台主机添加跳板机，在目标主机所在行的“操作”列，单击“配置跳板机”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 在“配置跳板机”对话框中，选择已有跳板机，或者单击“添加新的跳板机”，添加跳板机，如下图所示。 说明 如果需要修改已有跳板机，单击“编辑”，进行修改。 如果需要删除已有跳板机，单击“删除”，删除跳板机。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，配置说明如下表所示。 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 7. 单击“确定”，跳板机配置成功。 如果需要解除绑定主机的跳板机，在目标主机的“操作”列，单击“更多 > 解除跳板机”，解除跳板机。

本文向您介绍企业版VPN中路由设置的常见问题。 如何理解VPN连接中的对端网关和对端子网？ 对端网关和对端子网是两个相对的概念，在建立VPN连接时，从云的角度出发，VPC网络就是本地子网，创建的VPN网关就是本地网关，与之对接的用户侧网络就是对端子网，用户侧的网关就是对端网关。 对端网关IP就是用户侧网关的公网IP，对端子网指需要和VPC子网互联的子网。 Console界面在哪添加VPN远端路由？ 云端在VPN连接创建时会自动下发到达远端子网的路由，无需手动配置。 ECS主机多网卡是否需要添加去往线下网络的路由？ 如果客户使用主网卡与线下网络建立了VPN，不需要添加路由。 如果客户使用非主网卡与线下网络建立了VPN，需要添加去往线下网段的路由指向非主网卡的网关。 什么是NQA 什么是NQA 网络质量分析（Network Quality Analysis，NQA）是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络指标进行统计。NQA能够实时监视网络服务质量，在网络发生故障时进行有效的故障诊断和定位。 为什么需要NQA 随着运营商增值业务的开展，用户和运营商对QoS（Quality of Service）的相关要求越来越高，特别是在传统的IP网络承载语音和视频业务后，运营商与客户之间签订SLA（Service Level Agreement）成为普遍现象。 为了让用户看到承诺的带宽是否达到需求，运营商需要提供相关的时延、抖动、丢包率等相关的统计参数，以及时了解网络的性能状况。传统的网络性能分析方法（如Ping、Tracert等）已经不能满足用户对业务多样性和监测实时性的要求。NQA可以实现对网络运行状况的准确测试，输出统计信息。NQA可以监测网络上运行的多种协议的性能，使网络运营商能够实时采集到各种网络运行指标，例如：HTTP的总时延、TCP连接时延、DNS解析时延、文件传输速率、FTP连接时延、DNS解析错误率等。通过对这些指标进行控制，网络运营商可以为用户提供不同等级的网络服务。同时，NQA也是网络故障诊断和定位的有效工具。

本文详细介绍到期与欠费说明。 到期 AOne边缘安全加速平台的基础套餐为包年包月的销售品，在资源到期前7天、3天、1天会以邮件的方式通知客户资源即将到期；在到期当天会以邮件、站内信和短信的方式通知客户。 客户选择订购套餐或资源包，如果客户拟在服务期限届满或资源包抵扣完成后继续使用服务，客户应当及时续订套餐、资源包或开通按需计费。否则，天翼云将在服务期限届满或资源包抵扣完成后暂停向客户提供服务目冻结资源，天翼云有权立即释放客户的资源，并删除相关数据。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行去自助控制台检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，则将关停客户的边缘安全加速平台。 服务到期，关停服务 关停客户的边缘安全加速平台安全与加速服务，天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。

概述 API分组环境变量用于在不同的环境（生产，测试，开发）中引用同一个环境变量中不同的值，从而可以灵活引用变量。通常用于动态调整配置项，比如数据库连接、外部服务的 URL、认证密钥等。这减少了硬编码，并使得应用程序能够根据部署环境自动适应配置变化。 创建环境变量 1. 进入API托管>分组管理菜单页 2. 点击环境变量管理，进入环境变量管理页，在对应的环境tab页下点击新增环境变量按钮，填写变量名和变量值进行创建。 注意 每个环境下允许最多创建50个变量；创建同名环境变量时会覆盖已有环境变量值。 删除环境变量 用户可以对环境下的环境变量进行删除操作。注意：删除前请先确保该环境变量没有在API定义中使用。 使用环境变量 创建了环境变量后，可以在API定义中在请求Path、入参默认值、后端服务地址部分加入变量，以 变量名 表示，如请求path可以填写“/ version ”。 当该API定义发布到该环境时，API定义中的变量就会取值对应的变量值，即发布过程中变量标识会被相应环境的变量值替换。例如在生产环境中定义了变量version的值为v1，则上述API的请求path会被解析为/v1。 注意 1. 变量名严格区分大小写。 2. 如果在API定义中设置了变量，那么一定要在要发布的环境上配置变量名&变量值，否则变量无赋值，API将无法正常调用。 3. API调试暂不支持进行环境变量解析。

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本章节主要介绍天翼云物理机支持挂载哪些存储类型。 物理机支持挂载云硬盘，并且支持从云硬盘启动，解决了传统物理服务器受限于本地硬盘容量的问题。 物理机还支持挂载共享云硬盘，由多台服务器并发读写访问，满足您企业核心系统集群部署的需求。 云硬盘类型 普通IO：该类型云硬盘的最大IOPS为2200，适用于大容量、读写速率中等、事务性处理较少的应用场景，例如企业的日常办公应用或者小型测试等。 高IO：该类型云硬盘的最大IOPS可达5000，最低读写时延为1ms，适用于主流的高性能、高可靠应用场景，例如企业应用、大型开发测试以及Web服务器日志等。 超高IO：该类型云硬盘的最大IOPS可达50000，最低读写时延为1ms，适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。 通用型SSD：该类型云硬盘的最大IOPS可达20000，最低读写时延为1ms，适用于各种主流的高性能、低延迟交互应用场景，例如企业办公、大型开发测试、转码类业务、Web服务器日志以及容器等高性能系统盘。 极速型SSD：该类型云硬盘的最大IOPS可达128000，最低读写时延为亚毫秒级，采用了结合全新低时延拥塞控制算法的RDMA技术，适用于需要超大带宽和超低时延的应用场景。 说明 当前physical.d1.large 和 physical.d2.large 规格为本地存储型（大数据）机型，不支持挂载云硬盘。

本章节主要介绍了什么是物理机和物理机产品架构,以及与自建物理机、云主机的功能对比。 天翼云物理机服务（CTDPS，Dedicated Physical Server）是一款兼具弹性云主机和物理机性能的计算类服务，为您及您的企业提供专属独享的物理机服务，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全，满足核心应用对高性能及稳定性的需求。同时，可实现与弹性云主机混合组网，为用户提供灵活的业务部署方案。 产品架构 天翼云物理机通过和其他服务组合，可以实现计算、存储、网络、镜像安装等功能： 在不同可用区中部署（可用区之间通过内网连接）物理机，部分可用区发生故障后不会影响同一区域内的其他可用区。 可以通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网链接。 通过镜像服务，可以对物理机安装镜像，也可以通过私有镜像批量创建物理机，实现快速部署业务。 通过云硬盘服务实现数据存储，并通过云硬盘备份服务实现数据的备份和恢复。 云监控是保持物理机服务器可靠性、可用性和性能的重要部分，通过云监控，用户可以观察物理机服务器资源。 云备份提供对云硬盘和物理机的备份保护服务，支持基于快照技术的备份服务，并支持利用备份数据恢复服务器和磁盘的数据。