本文主要介绍如何查看物理机备份并恢复数据。 查看自动和手动备份 您可以在云主机备份的“备份副本”页面查看所有的备份。为便于您识别，自动备份的名称以“auto”开头；手动备份的名称以“manual”开头。 单击某个备份名称，查看备份详情，其中包括物理机的磁盘级备份信息。 为方便您查看，备份也会显示在物理机详情页面的“磁盘”页签，以备份树的形式呈现。 恢复数据 当物理机中的磁盘发生故障、或者由于人为误操作导致服务器数据丢失时，可以使用已经创建成功的备份恢复原服务器。 1. 登录管理控制台。 2. 选择“存储 > 云服务备份”。 进入“云服务备份控制台”。 3. 在云主机备份页面，选择“备份副本”页签。 4. 找到物理机所对应的备份，单击所在行的“恢复数据”，弹出“恢复服务器”页面。 5. 勾选“恢复后立即启动服务器”。 如果取消勾选“恢复后立即启动服务器”，则恢复服务器操作执行完成后，需要手动启动服务器。 注意 恢复服务器的过程中会关闭服务器，请在业务空闲时操作。 6. 在指定的磁盘下拉菜单中选择备份需要恢复到的磁盘。 说明 如果服务器只有一个磁盘，则默认恢复到该磁盘。 如果服务器存在多个磁盘，默认将备份恢复到原来的磁盘，也可以在“指定的磁盘”下拉菜单中重新选择磁盘将备份恢复到备份服务器中的其他磁盘中。但是指定的磁盘容量不能小于之前的磁盘容量。 备份的数据盘的数据，不能恢复到系统盘中。 7. 单击“确定”，并确认备份恢复是否成功。 您可以在备份列表中，查看备份恢复的执行状态，直到备份的“备份状态”恢复为“可用”。然后验证您的业务是否已经恢复。

一键检测readonly如何理解？ 一键检测readonly可以自动检测集群主备所有分片节点，当发现zk中节点为master但实际info角色为slave的会被认为readonly异常，在一键检测readonly子页面中可以通过操作来完成集群的readonly异常修复。 这种自动检测和修复的流程有助于提高系统的稳定性和可维护性，减少人为错误和手动操作的需求。通过一键操作，用户可以方便地识别和解决集群中的 readonly 异常，确保 Redis 集群正常运行。 实例账户权限控制？ 每一个集群版缓存实例可以创建多个子账户，每个子账户有三个属性，子账户名，子账户密码以及子账户的读写属性，缓存客户端的使用鉴权方式保持一致，如jedis.auth(“子账户名 子账户密码”)。 其中只读账户对缓存数据的操作是只读的，读写账户对缓存数据是读写的。通过不同账户的读写权限控制，可保证缓存实例的操作更加安全可靠。 集群版是否支持多key操作？ 支持。首先单机主备天然支持多key操作，其次针对集群架构实例场景下，access代理层会将key列表解析出来，分别构造不同redis分片的协议，经过代理层收集完get结果后再构造协议统一返回给客户端，应用就像操作单机主备一样来操作proxy集群实例。 在 Redis 集群中，多key操作指的是能够同时对多个key执行操作的命令，这些操作可以是读取、写入或其他类型的操作。Redis 集群在设计上分为多个节点，每个节点负责管理部分数据。当进行多key操作时，Redis 集群会自动将这些key分发到相应的节点上，然后执行相应的操作。这确保了在分布式环境下的高效操作。

本章节为您介绍敏感数据发现的相关操作。 敏感数据发现功能内置多种发现规则，支持基于数据内容的识别，不仅依赖于用户的元数据管理系统、字段名或字段注释等信息。支持用户基于自身需求自定义规则，实现对敏感数据的自动发现和标识。 同时敏感数据发现功能可同数据分级分类功能进行对接，可基于行业或法律法规对敏感数据进行分类分级与梳理，便于用户按照不同级别进行脱敏算法的配置，有效避免数据的过度保护。 结构化发现 创建规则 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“敏感数据发现 > 结构化发现 ”，进入“结构化发现”页面。 3.单击页面右上角的“新增”按钮，跳转至“创建发现任务”页面，填写相关参数。 参数 参数说明 填写样例 任务名称 结构化任务的名称，系统会为您自动生成，您也可以自定义该任务名称。 Test 输入源 选择结构化发现任务的输入源IP，如果新增输入源可参考：数据资产管理章节。 192.168.0.1 脱敏模板 选择该任务需要使用的脱敏模板，如何新增脱敏模板可参考：脱敏模板章节。 默认模板 发现方式 根据该任务的需求选择以下两种发现方式： 全量发现：同步输入源中的所有数据。 增量发现：基于输入源中已存在数据脱敏实例中的数据，进行增量。 全量发现 输入数据 数据输入方式支持以下三种： 手动选择 全部选择 文件导入 手动选择 采样行数 从原始数据集中抽取一定数量的样本行，系统默认为：1000行，您可以根据自身业务需求填写。 1000 命中阈值 指在规则触发过程中的临界标准，默认值为：80，妮妮可以根据自身业务需求填写。 80 4.填写完成后，可选择“保存”或者“保存并运行”。

2. 控制台云化应用 仅需三步即可实现通过云渲染平台实现应用云化，您需要上传资产、发布应用、测试应用，通过这些操作将应用运行至云渲染高配置实例中。 上传资产 云渲染可以直接通过网页上传资产，详情可查看上传资产。 发布应用 1. 资产上传成功后，即可发布应用让应用运行至云端节点。 2. 3D应用支持发布至多个区域，云渲染服务开通多个区域后算力调度将识别终端所在位置，自动接入最近节点。 3. 点击应用上架，生成应用测试链接。 测试应用 应用发布成功后可通过渲染链接查看应用实时渲染效果，若应用启动不成功、启动效果不满意可通过以下步骤调试、修改： 应用无法启动成功 应用一直处于加载中：检查应用启动是否需要配置启动参数。 应用结束运行：检查应用是否本地可运行，若持续出现问题请联系客服解决。 提示并发数已达最大：需要增加应用配置中的 最大并发数 。 提示超过允许带宽 BANDWIDTHEXCEEDS：需要增加已购买的固定带宽数。 部分浏览器不支持 webrtc，导致应用在此环境无法运行，建议在云渲染推荐的浏览器版本中做应用调试。 应用启动过慢 对于渲染规格包周期用户，我们提供了应用预热的功能，您可以开启预热让节点秒速加载。 您可按照所属地域开通对应区域的云渲染服务，减少网络延迟带来的加载过慢问题。 应用卡顿、延迟 您可打开应用右上角工具栏中的网络信息，查看是否是网络问题导致的丢包率过高，或更换网络访问。 配置应用码率 ，更换为 流畅优先 。 更多应用解答参见常见问题。

{Job.getParam("jobparamname")} ，因为此表达式只能直接获取当前作业里配置的参数的value，并不能获取到父作业传递过来的参数值，也不能获取到工作空间里面配置的全局变量，作用域仅为本作业。 而表达式${jobparamname}，既可以获取到父作业传递过来的参数值，也可以获取到全局配置的变量。 详见下图：循环执行子作业 配置完成SQL语句后，在子作业中配置作业参数。此处仅需要配置参数名，用于主作业ForeachDemomaster中的For Each节点识别子作业参数；参数值无需填写。 详见下图：配置子作业参数 配置完成后保存作业。 4. 创建For Each算子所在的主作业ForeachDemomaster。 进入DataArts Studio数据开发模块选择“作业开发”页面，新建数据开发主作业ForeachDemomaster。选择DLI SQL节点和For Each节点，选中连线图标并拖动，编排下图所示的作业。 详见下图：编排作业 配置DLI SQL节点属性，此处配置为SQL语句，语句内容如下所示。DLI SQL节点负责读取DLI表TableList中的内容作为数据集。 SELECT FROM TableList; 详见下图：DLI SQL节点配置 配置For Each节点属性。 − 子作业：子作业选择步骤2已经开发完成的子作业“ForeachDemo”。 − 数据集：数据集就是DLI SQL节点的Select语句的执行结果。使用EL表达式

3.3安装MLNXOFED（InfiniBand驱动） 3.3.1 下载驱动 下载方式一：直接使用链接 下载方式二：访问页面 3.3.2 安装驱动 假设下载好的驱动已经放到了/root/MLNXOFEDLINUX5.43.7.5.0ubuntu20.04x8664.iso。按下面指令安装MLNXOFED驱动。（若是内核升级后，不是默认内核，安装指令可能要添加addkernelsupport 参数） aptget install y gfortran libnl3dev tcl graphviz dpatch swig quilt bison flex libltdldev tk debhelper m4 libnumadev autoconf autotoolsdev chrpath automake libnlroute3dev libgfortran5 mkdir p /tmp/mlnx mount /root/MLNXOFEDLINUX5.43.7.5.0ubuntu20.04x8664.iso /tmp/mlnx pushd /tmp/mlnx 安装指令； ./mlnxofedinstall all q 若是内核升级后，不是默认内核，可能addkernelsupport 参数，执行 ./mlnxofedinstall addkernelsupport all q force，见4.3小节（3）部分 popd umount /tmp/mlnx rmdir /tmp/mlnx MLNXOFED会添加自己的网卡命名的udev规则，如果不想使用此网卡命名，可以去掉此udev规则。 mv v /usr/lib/udev/rules.d/8netsetuplink.rules /usr/lib/udev/rules.d/netsetuplink.rules.bak 检查OFED是否安装 ls /usr/mpi/gcc/openmpi3.1.0rc2/bin/mpirun rpm qa grep mlnxofa 检查PCIE 是否识别IB卡 lspci grep i Mellanox

本文介绍如何使用边缘安全加速平台实现企业零信任办公。 边缘安全加速平台提供零信任网络能力，帮助企业快速构建比传统VPN更安全、更便捷的零信任办公安全体系。企业在边缘安全加速平台完成配置和操作后，能够实现员工远程零信任VPN办公、上网行为流量管控和终端基线安全准入等场景效果。本文介绍零信任网络的业务原理和使用逻辑流程，帮助企业管理员在开通边缘安全加速平台零信任服务后，快速入门企业零信任办公配置使用流程。 什么是企业内网安全访问 天翼云边缘安全加速平台零信任服务基于软件定义边界SDP（Software Defined Perimeter）架构，企业无需改造原有网络架构也无需暴露公网地址即可完成远程访问企业内网业务系统，实现应用、端口隐藏，并基于零信任“永不信任，持续验证”理念，对行为、环境、身份进行动态授权，打造兼具安全、性能、稳定的零信任网络。当您的员工需要远程访问企业的内部业务系统时，您可以在边缘安全加速平台控制台进行配置，完成配置后，企业的员工下载并安装零信任客户端，完成身份合法性识别后，即可安全地远程访问您的内网业务系统。 操作说明 登录边缘安全加速平台，在首页全部产品栏目，选择零信任，进入产品配置页。 首次订购使用零信任，需要进行设置企业认证标识，企业标识为登录客户端的重要标识，建议使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识，暂不允许控制台修改，若有需要可提交工单进行配置。

本节主要介绍标签管理。 操作场景 标签管理服务（Tag Management Service，简称TMS）用于用户在云平台，通过统一的标签管理各种资源。标签管理服务与各服务共同实现标签管理能力，标签管理服务提供全局标签管理能力，各服务维护自身标签管理 。 为GeminiDB Influx的实例添加标签，可以方便用户识别和管理拥有的GeminiDB Influx资源。您可以在创建实例时添加标签，也可以在实例创建完成后，在实例详情页添加标签。 标签添加成功后，您可以通过搜索标签键或值，快速查询关联的资源信息。 使用须知 建议您先在标签管理服务系统中设置预定义标签。 标签由“键”和“值”组成，每个标签中的一个“键”只能对应一个“值”。关于标签键和标签值的命名规则，请参见表1。 每个实例默认最多支持10个标签配额，如果您需要使用更多标签，可以联系客服申请至20个标签配额。 标签命名需要满足表1规则。 表1 命名规则 参数 规则 示例 标签键 不能为空。 对于每个实例，每个标签的键唯一。 长度不超过36个字符。 只能包含数字、英文字母、下划线、中划线和中文。 Organization 标签值 可以为空。 长度不超过43个字符。 只能包含数字、英文字母、下划线、点、中划线和中文。 nosql01 添加标签 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 4. 在左侧导航树，单击“标签”。 5. 在“标签”页面，单击“添加标签”，在弹出框中，输入标签键和标签值，单击“确定”。 6. 添加成功后，您可在当前实例的所有关联的标签集合中，查询并管理自己的标签。

剧本和流程的关系 联系：剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 区别：剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例：以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。 插件管理 插件：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集：是具有相同业务场景的插件集合。 函数：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器：是用于连接数据源，将告警、事件等安全数据接入态势感知（专业版），包括事件触发和定时触发两种连接器类型。 公共库：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

本文简述回源HTTP响应头的用途和配置方法。 功能介绍 全站加速产品支持自定义配置回源HTTP响应头，您可根据业务需要，选择添加、修改、删除回源HTTP响应头。 回源HTTP响应头 HTTP响应头是HTTP响应消息头的重要组成部分，可使用HTTP响应头携带特定的响应参数返回给客户端。当全站加速节点上没有用户请求的资源时，全站加速节点会回源获取该资源，源站会响应用户请求的资源。为方便用户识别，可通过配置回源HTTP响应头的功能，改写响应报文中的HTTP头。 配置说明 该功能暂不支持客户自助配置。如您需要配置回源HTTP响应头功能，请提交工单给天翼云客服，由其帮您配置。 提交工单时建议您按如下格式提供信息： 参数名 说明 示例 修改动作 添加、修改、删除。 1. 添加回源HTTP响应头，如源站已有该响应头，则不添加，如源站无该响应头，则对应添加。 2. 修改回源HTTP响应头，如源站已有该响应头，则做修改，如源站无该响应头，则不做修改。 3. 删除回源HTTP响应头，如源站已有该响应头，则删除，如源站无该响应头，则不做处理。 删除。 key/value 1. 若需要添加/修改对应响应头，则需要提供key和value信息；key仅支持大小写字母、数字、下划线、中划线；value不支持空格、中文文字及字符。 2. 若需要删除对应响应头，仅提供key信息即可；key仅支持大小写字母、数字、下划线、中划线。 Pragma。结合上文的修改动作，效果为删除源站响应的Pragma响应头。

配置SSH登录IP白名单 SSH登录IP白名单功能是防护帐户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 单一账号最多可添加10个SSH登录IP白名单。配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 IP加入白名单后，帐户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 1、选择“安装与配置 > 安全配置 > SSH登录IP白名单”，单击“添加白名单IP”。 2、在弹出的对话框中输入“白名单IP”，勾选需要生效的云服务器，可勾选多个服务器，确认无误单击“确认”，添加操作完成。 说明 “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址，您将无法SSH远程登录您的服务器 单次只能添加一个IP，若需添加多个IP，需重复操作添加动作，直至全部IP添加完成。 3、返回“安装与配置 > 安全配置 > 常用登录IP”页面查看是否已新增，出现新增表示添加成功。 开启恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助您自动识别处理系统存在的安全风险。 1、选择“安装与配置 > 安全配置 > 恶意程序隔离查杀”，分别单击“恶意程序隔离查杀”和“恶意软件云查杀”的开关，开启“恶意程序隔离查杀”和“恶意软件云查杀”。 开启后将应用至企业主机安全全局服务器，但部分检测能力受主机安全配额版本的限制无法运行，若需正常使用，建议您开启企业版及以上版本更好的体验隔离查杀功能。 2、在弹出的对话框中单击“确认”，开启“恶意程序隔离查杀”和“恶意软件云查杀”。 自动隔离查杀有可能发生误报。您可以在企业主机安全控制台“入侵检测”页面中，选择“事件管理”页签，查看被隔离的恶意程序。在此您可以对指定的恶意程序执行取消隔离、忽略等操作。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 在“恶意程序隔离查杀”界面，如果不开启“恶意程序隔离查杀”功能，当HSS检测到恶意程序时，将会触发告警。 您可以在“入侵检测”的“安全告警事件”中，查看“恶意程序”中的告警信息，并对恶意程序进行隔离查杀。

本节介绍了:成本分析的用户指南。 背景 随着云原生技术的普及，Kubernetes凭借其弹性伸缩、多租户隔离和资源共享等特性加速了企业上云进程，但资源的动态性也导致传统成本管理模型难以适用。 在云原生场景下，传统成本管控主要面临以下挑战： 资源粒度细：容器、Pod、节点等多层资源相互交织，成本归属难以清晰界定。 浪费难追踪：闲置资源、过度配置（如CPU Request设置过高）等问题隐蔽性强。 缺乏协同机制：财务、运维与开发团队之间的成本目标存在脱节。 基于FinOps理念，云容器引擎构建了成本分析治理体系，助力企业在享受云原生技术红利的同时实现精准成本管控与资源效益最大化。该体系通过多维度成本透视与智能分账功能，聚合集群、命名空间、节点及工作负载等层级的成本数据，支持分摊IaaS费用（如云服务器和云磁盘等），并分析集群成本开销与资源使用状况。IT成本管理人员可直观掌握资源成本构成，识别资源浪费；同时依托资源画像与优化检查能力，有效推动企业降本增效。 成本治理流程 成本治理的一般流程为： 1. 预算规划：企业IT成本管理人员对项目（通常对应Kubernetes集群）、部门（对应集群命名空间）及业务产品（对应一个或多个应用/工作负载）分配预算额度。 2. 成本监控：开通成本洞察功能后，通过分析集群成本报表与预测数据，判断是否存在资源浪费或超支风险，评估实际支出是否与预算相符。 3. 问题定位：若实际支出与预算偏差较大，可基于多维度报表（如命名空间、应用层级）定位造成浪费的主要部门或业务。 4. 合理性评估：核查相关部门或业务的资源使用情况与预算分配的合理性。 5. 优化执行：如发现资源使用不当，由对应业务人员实施成本优化措施。 6. 效果验证：通过集群或多维度报表跟踪成本治理成效，确保优化措施有效落实。

本节介绍了:成本分析的用户指南。 背景 随着云原生技术的普及，Kubernetes凭借其弹性伸缩、多租户隔离和资源共享等特性加速了企业上云进程，但资源的动态性也导致传统成本管理模型难以适用。 在云原生场景下，传统成本管控主要面临以下挑战： 资源粒度细：容器、Pod、节点等多层资源相互交织，成本归属难以清晰界定。 浪费难追踪：闲置资源、过度配置（如CPU Request设置过高）等问题隐蔽性强。 缺乏协同机制：财务、运维与开发团队之间的成本目标存在脱节。 基于FinOps理念，云容器引擎构建了成本分析治理体系，助力企业在享受云原生技术红利的同时实现精准成本管控与资源效益最大化。该体系通过多维度成本透视与智能分账功能，聚合集群、命名空间、节点及工作负载等层级的成本数据，支持分摊IaaS费用（如云服务器和云磁盘等），并分析集群成本开销与资源使用状况。IT成本管理人员可直观掌握资源成本构成，识别资源浪费；同时依托资源画像与优化检查能力，有效推动企业降本增效。 成本治理流程 成本治理的一般流程为： 1. 预算规划：企业IT成本管理人员对项目（通常对应Kubernetes集群）、部门（对应集群命名空间）及业务产品（对应一个或多个应用/工作负载）分配预算额度。 2. 成本监控：开通成本洞察功能后，通过分析集群成本报表与预测数据，判断是否存在资源浪费或超支风险，评估实际支出是否与预算相符。 3. 问题定位：若实际支出与预算偏差较大，可基于多维度报表（如命名空间、应用层级）定位造成浪费的主要部门或业务。 4. 合理性评估：核查相关部门或业务的资源使用情况与预算分配的合理性。 5. 优化执行：如发现资源使用不当，由对应业务人员实施成本优化措施。 6. 效果验证：通过集群或多维度报表跟踪成本治理成效，确保优化措施有效落实。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的特殊字符访问拦截功能。 功能介绍 通过识别请求URI中的非法特殊字符进行拦截，避免源站服务器无法处理而出现错误。 用户可自定义特殊字符的类型以及触发拦截的条件。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【特殊字符访问拦截】详细设置。 配置说明 配置项 说明 防护模式 关闭：不开启特殊字符访问检测。 拦截：对请求URI中的特殊字符进行检测，若触发防护条件，则对请求进行拦截。 告警：对请求URI中的特殊字符进行检测，若触发防护条件，产生攻击日志，不进行拦截。 特殊字符 定义需要检测的特殊字符，支持添加多个，支持删除。 防护范围 防护粒度：支持选择PATH和URI，多个防护粒度为且关系，满足所有条件时，才触发处理动作。 逻辑符号：等于/不等于。 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔。 防护条件 统计粒度为URI，当“检测字符数”或"检测字符类型数"达到配置值时，将触发处理动作。 检测字符数”、"检测字符类型数"两个配置条件为或关系。 检测字符数建议为5，检测字符类型数建议为3。 检测最大长度 检测的最大原始字符串长度（未解码前），若不填写默认检测前100个字符。 最大可配置2028。

本节介绍了标签的操作场景、有关标签的基本知识、标签命名规则。 操作场景 标签是弹性云主机的标识。为弹性云主机添加标签，可以方便用户识别和管理拥有的弹性云主机资源。 您可以在创建弹性云主机时添加标签，也可以在弹性云主机创建完成后，在云主机的详情页添加标签，您最多可以给弹性云主机添加10个标签。 有关标签的基本知识 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 标签示例 上图说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为帐户中的资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签命名规则 每个标签由一对键值对（KeyValue）组成。 每个弹性云主机最多可以添加10个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如下表所示。 标签命名规则 参数 规则 样例 ::: 标签键 不能为空。 对于同一台云主机，Key值唯一。 长度不超过36个字符。 只能由数字、英文字母、中划线“”、下划线“”、中文字符组成 Organization 标签值 长度不超过43个字符。 只能由数字、英文字母、中划线“”、下划线“”、点、中文字符组成 Apache

关注配额限制 云服务和集群资源均有配额限制，以防止意外过度使用资源。 云服务配额：如弹性云服务器、云硬盘、虚拟私有云、弹性负载均衡、容器镜像服务等均有配额限制，当资源配额限制无法满足使用时，可以提交工单申请扩大配额； 集群配额：租户可创建集群数量、单集群管理节点数量、单节点最大Pod数有配额限制，详见使用限制。 监控控制节点指标 采集控制节点指标可以深入了解控制节点性能并提前识别问题，运行状况不佳的控制节点会影响应用可靠性。 云容器引擎通过ccsemonitor插件对接应用性能监控服务APM，以采集集群指标，默认会采集kubeapiserver、kubecontroller、kubescheduler、etcd等核心组件指标。 可在云容器引擎控制台的“运维管理监控”侧查看这些系统组件的监控面板。 运行npd 工作节点故障可能影响容器应用的正常运行。npd（node problem detector）是Kubernetes社区提供的用于检测集群节点异常的插件，借助npd可及时获取节点可能存在的异常并处理。npd插件支持自定义配置，如目标节点、触发阈值、检查周期等。 配置DNS缓存 CoreDNS默认不缓存DNS，当集群内DNS请求量增加时，CoreDNS可能出现如下问题： 延迟增加：CoreDNS要处理更多请求，DNS查询可能变慢，从而影响业务性能； 资源占用率增加：CoreDNS需要占用更多CPU和内存，以满足激增的DNS请求。 可在集群中部署NodeLocal DNSCache插件以减少DNS请求延迟，提升服务发现的稳定性和性能。该插件在每个集群节点上运行DNS缓存代理，所有注入DNS配置的Pod优先使用该DNS缓存代理进行域名解析，以减少CoreDNS服务的压力，提高集群DNS性能。 详见使用NodeLocal DNSCache。

公有云使用Kafka作为消息引擎，以下概念基于Kafka进行描述。 Topic 消息主题。消息的生产与消费，围绕消息主题进行生产、消费以及其他消息管理操作。 Topic也是消息队列的一种发布与订阅消息模型。生产者向消息主题发布消息，多个消费者订阅该消息主题的消息，生产者与消费者彼此并无直接关系。 生产者（Producer） 向Topic（消息主题）发布消息的一方。发布消息的最终目的在于将消息内容传递给其他系统/模块，使对方按照约定处理该消息。 消费者（Consumer） 从Topic（消息主题）订阅消息的一方。订阅消息最终目的在于处理消息内容，如日志集成场景中，监控告警平台（消费者）从主题订阅日志消息，识别出告警日志并发送告警消息/邮件。 节点（Broker） 即Kafka集群架构设计中的单个Kafka进程，一个Kafka进程对应一台服务器，因此手册中描述的节点，还包括对应的存储、带宽等服务器资源。 分区（Partition） 为了实现水平扩展与高可用，Kafka将Topic划分为多个分区，消息被分布式存储在分区中。 副本（Replica） 消息的备份存储。为了确保消息可靠，Kafka创建Topic时，每个分区会分别从节点中选择1个或多个，对消息进行冗余存储。 Topic的所有消息分布式存储在各个分区上，分区在每个副本存储一份全量数据，副本之间的消息数据保持同步，任何一个副本不可用，数据都不会丢失。 每个分区都随机挑选一个副本作为Leader，该分区所有消息的生产与消费都在Leader副本上完成，消息从Leader副本复制到其他副本（Follower）。 Kafka的主题和分区属于逻辑概念，副本与节点属于物理概念。下图通过消息的生产与消费流向，解释了Kafka的分区、节点与主题间的关系。 图 Kafka消息流

本小节介绍Web应用防火墙CC攻击防护最佳实践。 CC（ChallengeCollapsar，挑战黑洞）攻击是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式，这使追踪变得非常困难。 基础CC防护 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。CC攻击防护在遭受应用层DDoS攻击时对缓解服务器压力有着显著的效果，但是自定义CC攻击防护配置需要用户对自身业务情况有一定的了解。CC攻击防护会限制单一客户端访问频率，严格的CC攻击防护策略在部分情况下会导致正常访问失败，如大量客户通过同一Wifi下的单一出口IP同时访问。 前提条件 已添加了防护域名并已完成了域名接入。 WAFCC防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“CC攻击防护”页签。 统计对象：依据判定的对象，默认是根据用户IP访问行为进行判定。 增长频率：单一IP每秒HTTP访问次数上限与增长率上限。增长频率与访问频率满足其一触发防护。 访问频率：单一IP每秒HTTP访问次数上限。增长频率与访问频率满足其一触发防护。 时间配置：默认每120秒检测一次，将达到以上拦截阈值的用户IP封禁7200秒。 以上配置您可以全部自定义，如有疑问，您可以联系联系云WAF工程师咨询（ 服务热线：4009259120 语音提示后，请按“ 2”转接人工服务，在线客服 QQ：2448296676 ）。

网络规划 示例IP规划如下： 网卡 子网 WAF1 IP WAF2 IP 虚拟IP eth0 192.168.0.0/24 192.168.0.6 192.168.0.7 eth1 192.168.2.0/24 192.168.2.9 192.168.2.10 192.168.2.8 天翼云控制台配置 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙”，查看Web应用防火墙所在VPC。 3. 在WAF同VPC内新建子网（基于网络规划进行新建，已有子网分配则无需创建）。新建子网详细操作请参见创建子网。 说明 单台需要新增1张网卡，作为业务反代网卡。 结合初始拉起镜像时自带的主网卡作为M口管理，单台设备共计需要2张网卡。 4. 为防火墙设备绑定网卡。 说明 WAF云主机绑定网卡时所选子网先后顺序需保持一致，为云主机绑定网卡详细操作请参见 若绑定网卡时遇到问题，可联系天翼云工作人员。 5. 申请虚拟IP地址并绑定至防火墙设备的网卡。 说明 请按照以下步骤申请并绑定虚拟IP： 1. 共需根据防火墙子网所在网段购买1个虚拟IP，基于步骤3所创建的子网进行申请虚拟地址。申请虚拟IP详细操作请参见 2. 将申请的虚拟地址绑定至新建的弹性网卡，详细操作请参见 3. 将新建的网卡两两绑定至虚拟IP。 4. 绑定完成后，需重启两台添加了网卡的WAF云主机，让设备重新识别网卡。 若绑定虚拟IP时遇到问题，可联系天翼云工作人员协助处理。

本文介绍为通过应用托管应用市场体验OpenClaw的使用说明。 前置说明 1.该文档为通过应用托管应用市场体验OpenClaw的说明。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

设置常用功能 提升操作效率、优化使用体验、聚焦核心需求 【操作步骤】： 1、在对话界面中常用功能管理的入口，点击进入功能管理界面； 2、拖动排序：在 “我的 AI 应用” 区域，可通过鼠标拖动应用卡片（如 PPT 生成、智能文件搜索等），调整它们的显示顺序，按需排列常用应用的优先级； 3、添加应用：在 “全部推荐 AI 应用分类” 区域，点击应用（如内容润色、智能阅卷、OCR 图片转文字）右侧的 “+” 按钮，可将该应用添加到 “我的 AI 应用” 列表中； 4、移除应用：在 “我的 AI 应用” 区域，点击应用卡片右上角的 “×” 按钮，可将该应用从常用列表中移除； 5、保存 / 取消设置：完成排序、添加或移除操作后，点击 “保存” 按钮可确认更改；若不想保存，点击 “取消” 按钮即可放弃当前操作。 语音输入 便捷交互：语音输入让手忙或打字慢者轻松与AI交流；无障碍沟通助力书写/视觉障碍用户；高效创作提升文本输入速度，如快记采访和创作点子。 【操作步骤】 1、进入输入界面：打开 AI 应用中心，进入与 AI 对话的主界面，点击语音输入按钮：在输入文本框的右侧，找到并点击 “语音输入” 按钮； 2、开始语音录制：点击后，会提示 “点击完成录制”，此时开始对着设备的麦克风清晰说出想要输入的内容，在说话过程中注意保持平稳语速和合适音量，确保语音内容能被准确识别 ； 3、结束语音录制：说完想要输入的内容后，再次点击语音输入按钮（此时按钮可能会显示为停止录制相关的提示 ），结束语音录制。系统会自动将语音内容转换为文字，并显示在文本输入框中。

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

画面设置 如需设置AI云电脑画面，可选择“默认设置”，“清晰优先”，“流畅优先”，“自定义设置”。 系统重装 如需系统重装，偏好设置点击系统重装，选择“系统盘重装至初始状态”，进行系统重装，系统重装会将系统还原至初始状态，系统盘的程序或数据会被清除，如非特殊情况，否则不建议使用。 切换操作系统 AI云电脑（政企版）支持用户在客户端切换操作系统，包含租户下公共镜像、自定义镜像、共享镜像的同系统切换，如Windows系统、统信UOS系统、麒麟V10系统镜像，不支持不同系统之间切换。如果用户只有系统盘，支持切换至整机镜像，但是数据盘不展示。 切换镜像需注意以下几点： （1）切换操作系统将会清除安装在系统盘的程序、数据； （2）数据盘的图片、视频、文档等数据可继续使用； （3）如非AI云电脑故障，一般情况下不建议使用切换操作系统。 设备调试 提示：Mac客户端不支持设备调试 若有无法识别的外设，在在客户端工具栏偏好设置选择“设备调试”，选择当前连接的外设，配置设备类型，选择重定向方式。 若调试完的设备规则仅在当前终端使用，则选择保存在本地使用。 若调试完的设备规则共享他人，需要提交到管理控制台，管理员审核通过后租户下其他桌面也可使用。 优先级关系：设备调试>设备规则>外设重定向，存储设备同时开USB重定向策略和文件重定向策略时，优先走文件重定向策略。

AAS列表 列表展示AAS趋势对应的等待事件、来源、数据库、用户、SQL维度对象信息，SQL维度的对象信息展示SQL模板，每个SQL模板可以展开查询对应的SQL明细信息，SQL维度的SQL模板性能字段支持扩展，点击设置按钮，可选择更多字段，每个维度的对象支持单选查看对应的AAS趋势。 性能监控指标 展示上方性能趋势选择框时间范围的关键性能指标。 平均活跃会话计数算法 概述 平均活跃会话用于评估在一段时间内，实例中平均有多少个会话同时处于活动状态。选定的时间周期越长，统计的平均活跃会话数时间颗粒度越粗。 计算方式 性能洞察每3秒会对实例进行活跃会话信息的采集，平均活跃会话数特定时间段内的会话总数/特定时间段内的采集次数。 示例如下，在采集3次活跃会话快照信息的时间间隔内，平均有7个会话处于活动状态。 采集序列 活跃会话数 平均活跃会话数 计算过程 1 6 6 会话总数6/采集次数1 2 0 3 会话总数6/采集次数2 3 15 7 会话总数21/采集次数3 MySQL等待事件说明 概述 等待事件表示当前SQL 语句正在等待特定事件，事件结束后SQL才能继续运行，等待事件说明了SQL运行过程中受到阻塞的具体阶段，是衡量数据库负载的一个重要参考维度。 总体来说，活跃会话的SQL在执行过程中，会处于CPU执行或资源等待状态，比如等待写入binlog，等待数据文件扫描等。 在优化数据库整体负载时，常见的场景是少量的SQL模板在等待某些资源上花费了大量的时间，通过性能洞察可以对TOP等待的对象进行针对性识别、分析和优化。 有关MySQL 等待事件的信息，请参阅 MySQL官方文档。

本节介绍如何在数据探索页面查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 前提条件 完成数据库资产委托授权，并添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 数据探索”，进入“数据探索”页面。 5. 左上角单击下拉框选择展示模式： “数据库” “数据模式” “数据表” “数据列” 6. 单击数据库名称，进入数据库详情页面。您可以对数据库、数据表以及数据视图等添加描述、标签、密级和分类等。 单击“重新分析”，进行密级自动分析，根据敏感数据识别对数据库列标记的密级等级，分析出库表的密级。 7. 查看数据库详细信息。 选择“表信息”页签： 1. 单击表名称查看表详情。 2. 单击数据库名称返回上级页签。 3. 选择“表信息”页签，勾选表，单击左上角的“标识”添加表标识。 4. 单击给表添加分类、密级、标签和描述等信息。 选择“视图信息”： 1. 单击视图名称查看视图详情。 2. 单击数据库名称返回上级页签。 3. 选择“视图信息”页签，勾选视图，单击左上角的“标识”添加视图标识。 4. 单击给视图添加分类、密级、标签和描述等信息。 选择“schema信息”页签： 1. 勾选schame，单击左上角的“标识”添加列标识。 2. 单击给列添加分类、密级、标签和描述等信息。

此小节介绍云堡垒机的系统配置。 系统配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行，默认仅系统管理员admin可修改系统配置，整体管理系统运行状况。 安全配置，详情请参见登录安全管理。 网络配置，详情请参见网络配置。 端口配置，详情请参见端口配置。 外发配置，详情请参见外发配置。 认证配置，详情请参见远程认证管理。 工单配置，主要介绍工单配置的基本模式、高级模式、审批流程等，详情请参考工单配置管理。 告警配置，详情请参见告警配置。 系统风格，详情请参见系统风格。 网络配置 查看系统网络配置 本小节主要介绍如何查看系统网络接口、DNS地址、默认网关地址、静态路由等信息。 前提条件 已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 网络配置”，进入系统网络配置管理页面。 网络配置 3 在“网络接口列表”区域，可以查看当前云堡垒机系统的相关网络接口信息。 默认不支持修改系统网络接口。 网络接口列表 4 在“DNS配置”区域，可以查看当前云堡垒机系统的首选DNS和备用DNS地址。 默认不支持修改系统DNS地址。 系统DNS地址 5 在“默认网关”区域，可查看当前云堡垒机系统的默认网关。 默认识别DHCP网关地址，且不支持修改默认网关。 4系统默认网关 6 在“静态路由配置”区域，可查看当前系统可以访问其他网段的服务器。 静态路由

本节主要介绍添加服务类问题 添加的对外访问方式不能生效，如何排查？ 出现上述问题可能是访问相关的资源配置有缺失或错误，请按照如下方法进行排查： 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群，使用kubectl get gateway n istiosystem命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl get svc n istiosystem命令查看使用的ingressgateway是否有对应的IP和端口，且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERRUNSAFEPORT”错误，是因为该端口被浏览器识别为危险端口，此时应更换为其他外部端口。 一键创建体验应用为什么启动很慢？ 体验应用包含productpage、details、ratings和reviews 4个服务，需要创建所有相关的工作负载和Istio相关的资源（DestinationRule、VirtualService、Gateway）等，因此创建时间较长。 一键创建体验应用部署成功以后，为何不能访问页面？ 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建，后端服务器健康状态是否正常。 添加路由时，为什么选不到对应的服务？ 添加路由时，目标服务会根据对应的网关协议进行过滤。过滤规则如下： HTTP协议的网关可以选择HTTP协议的服务 TCP协议的网关可以选择TCP协议的服务 GRPC协议的网关可以选择GRPC协议的服务 HTTPS协议的网关可以选择HTTP、GRPC协议的服务 TLS协议的网关如果打开了TLS终止，只能选择TCP协议的服务；关闭了TLS终止，只能选择TLS协议的服务

id195456b426231) 服务器安全卫士（原生版）漏洞库多久更新一次？ 服务器安全卫士（原生版）支持的系统OS有哪些？ 购买了服务器安全卫士（原生版）是否能保证系统通过网络安全等级保护测评（等保）？ 服务器安全卫士（原生版）是否能以软件形式线下交付？ 服务器安全卫士（原生版）和云防火墙一起使用需要注意什么问题？ 什么是服务器安全卫士（原生版）？ 服务器安全卫士（原生版）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测等功能，帮助您构建服务器安全防护体系。 什么是网页防篡改（原生版）？ 网页防篡改（原生版）是一款全方位保障云上网站安全的产品，可对网站文件进行监控，若发生篡改时，实时对客户进行告警；同时通过备份恢复被篡改的文件或目录，保障客户系统的网站信息不被恶意篡改。 服务器安全卫士（原生版）是否有版本区分？主要功能有何不同？ 服务器安全卫士（原生版）提供基础版、企业版、旗舰版和增值服务（网页防篡改）供用户选择： 基础版包含安全概览、资产管理、入侵检测（异常登录、暴力破解）、漏洞扫描等功能。 企业版包含安全概览、资产管理、入侵检测（异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、Webshell检测）、漏洞扫描、基线管理、病毒查杀等功能。 旗舰版包含安全概览、资产管理、入侵检测（异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、Webshell检测、端口蜜罐）、漏洞扫描、基线管理、病毒查杀、文件完整性保护、文件防勒索等全部功能。 不同版本详细功能说明请参见产品规格。

本文介绍回源HTTP响应头功能及其配置说明。 功能介绍 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应头信息返回给客户端。当CDN节点上没有缓存用户请求的内容时，CDN节点会回源拉取内容，源站收到节点的请求后会进行响应。为了便于用户识别源站的响应信息，您可以配置回源HTTP响应头功能，改写源站响应报文中的HTTP Header信息。例如，改写回源响应头中ContentType参数的值，然后再传递给客户端，以确保客户端解析正常（通过改写，可以避免因源站响应的值异常的情况下，引起客户端解析乱码的问题）。 如果您需要改写用户源站响应报文中的HTTP Header，可以通过提交工单，申请配置回源HTTP响应头。可根据您的实际业务需求，选择添加、修改、删除回源HTTP响应头。 注意事项 1. 回源HTTP响应头改写功能，是指CDN回源节点接收到源站响应后，对源站的HTTP响应头做改写。与HTTP响应头功能不同的是，回源HTTP响应头的处理发生在CDN回源节点和源站之间，而HTTP响应头的修改发生在CDN边缘节点和用户的客户端之间。前者可能会影响CDN节点上的相关机制，并且会响应至用户侧，而后者仅影响CDN节点响应给客户端的头部，对CDN节点本身机制没有影响。 2. 如果仅希望影响客户端收到的响应头，使用修改HTTP响应头功能即可。详情请见：HTTP响应头。 3. 为避免影响CDN缓存，回源HTTP响应头功能对以下响应头不做处理：ContentLength、ContentRange、Range、LastModified、Etag、CacheControl。

准备资源 要求 创建指导 VPC和子网 不同的Kafka实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。 在创建VPC和子网时应注意如下要求： 创建的VPC与Kafka实例在相同的区域。 子网开启IPv6后，Kafka实例支持IPv6功能。Kafka实例开启IPv6后，客户端可以使用IPv6地址连接实例。 创建VPC和子网的操作指导请参考《虚拟私有云 用户指南》的 安全组 不同的Kafka实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用Kafka实例前，添加下表中的安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加下表中的规则。 创建安全组的操作指导请参考《虚拟私有云 用户指南》的 弹性IP地址 在创建弹性IP地址时，应注意如下要求： 创建的弹性IP地址与Kafka实例在相同的区域。 弹性IP地址的数量必须与Kafka实例的代理个数相同。 Kafka控制台无法识别开启IPv6转换功能的弹性IP地址。 创建弹性IP地址的操作指导请参考《弹性IP 用户指南》的“

本文主要介绍 Kafka相关概念。 云服务平台使用Kafka作为消息引擎，以下概念基于Kafka进行描述。 Topic 消息主题。消息的生产与消费，围绕消息主题进行生产、消费以及其他消息管理操作。 Topic也是消息队列的一种发布与订阅消息模型。生产者向消息主题发布消息，多个消费者订阅该消息主题的消息，生产者与消费者彼此并无直接关系。 生产者（Producer） 向Topic（消息主题）发布消息的一方。发布消息的最终目的在于将消息内容传递给其他系统/模块，使对方按照约定处理该消息。 消费者（Consumer） 从Topic（消息主题）订阅消息的一方。订阅消息最终目的在于处理消息内容，如日志集成场景中，监控告警平台（消费者）从主题订阅日志消息，识别出告警日志并发送告警消息/邮件。 代理（Broker） 即Kafka集群架构设计中的单个Kafka进程，一个Kafka进程对应一台服务器，因此手册中描述的代理，还包括对应的存储、带宽等服务器资源。 分区（Partition） 为了实现水平扩展与高可用，Kafka将Topic划分为多个分区，消息被分布式存储在分区中。 副本（Replica） 消息的备份存储。为了确保消息可靠，Kafka创建Topic时，每个分区会分别从代理中选择1个或多个，对消息进行冗余存储。 Topic的所有消息分布式存储在各个分区上，分区在每个副本存储一份全量数据，副本之间的消息数据保持同步，任何一个副本不可用，数据都不会丢失。 每个分区都随机挑选一个副本作为Leader，该分区所有消息的生产与消费都在Leader副本上完成，消息从Leader副本复制到其他副本（Follower）。 Kafka的主题和分区属于逻辑概念，副本与代理属于物理概念。下图通过消息的生产与消费流向，解释了Kafka的分区、代理与主题间的关系。 图 Kafka消息流

本小节介绍云解析的应用场景。 域名安全解析应用场景 针对各级政府、金融机构、新闻媒体、国有企事业单位的关键信息基础设施提供专业的权威解析服务。对重点域名提供安全监控服务，实时保证重点域名的解析以及用户访问可达。借助网站拨测功能，实现故障屏蔽，从而保障用户互联网服务的高可用。通过自研的DNS抗DDoS专用产品，可有效的对攻击DNS的DDoS报文实现准确识别和清洗。拥有多年国家顶级域名的运行经验，在域名系统的建设、运行、安全防护等方面积累了大量的运营和维护经验，参与并完成了多次重大活动期间域名解析安全保障工作。 实现功能 配置CNNIC自主研发的DNS专用产品，包括解析、抗攻击、安全监控等设备。 在多个城市部署域名安全服务系统监测节点，及时采集监测数据并回传到控制中心进行处理和分析，并根据预设条件进行必要的安全预警以及应急触发。 融合CNNIC多年DNS系统建设和维护的实践。 IPV6双栈应用场景 通过简单易用的操作平台，为企业和广大域名所有者提供安全稳定的DNS云解析服务。通过BGP + Anycast方式组网，使云解析具备完善的网络架构，使用CNNIC自主研发的DNS专用产品构建服务平台，包括抗攻击产品、权威解析产品和DNS实时流量监控产品。提供对IPv6的支持，可满足用户分区域、分运营商的精准解析，实现域名快速、稳定、安全的权威解析。 实现功能 系统运行IPv4/IPv6双栈，可同时提供IPv4和IPv6网络的解析请求。 网络架构采用BGP + Anycast技术跨区域、跨运营商异构部署。 配置CNNIC自主研发的DNS专用产品，包括解析、抗攻击、安全监控等设备。 全球部署多个节点，提供智能的、弹性的平台支持能力。