创建VPN连接后业务已通，但网页上的连接状态还是显示未连接？ 管理控制台界面中VPN连接状态刷新存在一定的延迟，是正常现象。 如果数据面已正常（即业务访问已正常），则VPN连接已完成建立。 VPN连接中断后会通知我吗？ VPN连接的状态监控功能已上线，VPN连接创建后即会向云监控服务CES上报状态信息，但是并不会自动向用户发送告警通知，需要在服务列表中选择“管理与监管＞云监控”创建告警规则。 VPN连接状态请在VPN连接“监控”列中单击进行查看。 如何解决VPN连接无法建立连接问题？ 1. 登录控制台，进入“VPN连接 > 企业版VPN连接”页面。 2. 在VPN连接列表中，单击目标VPN连接“操作”列的“修改策略配置”，查看该VPN连接对应的IKE策略和IPsec策略详情。 3. 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE SA已经建立，第二阶段IPsec SA未建立，常见情况为IPsec策略与数据中心远端的配置不一致。 4. 检查ACL是否配置正确。 假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，则你在数据中心或局域网中的ACL应对你的每一个数据中心子网配置允许VPC下的子网通信的规则，如下例： plaintext rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 5. 配置完成后检查VPN是否连接，从两侧测试ping是否正常。

接口功能介绍 检测设置旨在对文件完整性的进行设置包括关键文件监控、监控文件设置和服务器生效范围设置。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/integrityProtection/config/setUp 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 secureStatus 是 Boolean 文件保护配置防护状态 true开启 false关闭 true effectiveScope 是 String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL agentGuidList 否 Array of Strings 主机guid列表 [] secureConfigList 是 Array of Objects 保护目录 表 secureConfigList excludeConfigList 否 Array of Objects 排除目录 表 excludeConfigList 表 secureConfigList 参数 是否必填 参数类型 说明 示例 下级对象 filePath 否 String 文件路径,字符串反转后进行base64编码,如abc，变成 cba后，用base64编码 /path 表 excludeConfigList 参数 是否必填 参数类型 说明 示例 下级对象 filePath 否 String 文件路径,字符串反转后进行base64编码,如abc，变成 cba后，用base64编码 /path

本章节介绍应用高可用的产品定义。 产品定义 应用高可用服务 是为应用提供高可用解决方案的产品，包含应用容灾多活 和故障演练服务 ，提供应用流量调度、数据同步、演练容灾一站式管理，助力企业云上业务实现多活高可用建设。 产品优势 多种容灾架构：丰富的容灾架构，满足应用级、业务级多场景容灾。 一站接入管控：应用分层管理，接入层、服务层、数据层等统一纳管调度。 快速恢复预期：确定的流程编排，一键容灾切换，分钟级业务恢复能力。 高效运维监控：组件协同管理，全链路监控告警，容灾运维简单高效。 产品特性 引导接入：可视化引导用户进行应用改造、配置和流程编排，降低用户学习和实施成本。 资源管理：应用核心链路节点资源集成纳管，具备网关、服务、消息、数据等多层组件全栈管理能力。 流量调度：识别应用流量，支持按比例与精准路由规则，控制后端应用流量分配，实现流量分发多活。 数据保护：支持应用核心数据多集群冗余，通过SDK植入管控，实现请求封闭、消息过滤、数据禁写等一致性保护策略。 故障切换：多活应用分层协同切流，保障业务分钟级别恢复。 容灾演练：多活流量灰度验证，确保容灾操作可执行，恢复效果可预期。

删除标签 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”，进入指标页。 步骤 4 在界面左侧树选择所属应用。 步骤 5 单击“标签管理”，切换到标签管理页签。 步骤 6 单击待删除标签所在行“删除”，或者勾选待删除标签后单击“批量删除”。 图 删除标签 步骤 7 在弹出的删除页面单击“确定”，完成标签删除。 全局标签采集器配置 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”，进入指标页。 步骤 4 在界面左侧树选择所属应用。 步骤 5 单击“标签管理”，切换到标签管理页签。 步骤 6 单击“全局标签采集器配置”，弹出新增标签页面。 图 全局标签采集器配置 步骤 7 在下拉列表中选择对应的“采集器”单击“确定”，完成配置。

本文介绍全站加速产品的优势。 全站加速产品的优势主要体现在以下几个方面： 极简的运维部署 零部署：一键CNAME接入, 即可实现动静混合的站点加速，无需改变网站拓扑，无需拆分动静态域名。 零运维：以云原生技术为“内核”，秉承DevOps理念，实现开发、测试、运维自动化。 极致的加速体验 优质的资源覆盖： CN2和163互备支撑，所有节点和IDC出口并行，避免峰值带宽拥堵。 动静分离，智能高效：智能分离动静态内容，静态内容就近缓存分发，动态内容AI选路传输回源。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持http/https协议加速、上传加速、websocket加速、IPv6升级等。 安全可靠的传输保障 访问控制：支持设置IP黑白名单、Referer防盗链、UA黑白名单、URI黑白名单等进行访问控制。 安全传输：通过私有传输协议、https加密传输、无私钥驻留等技术，保障全站加速传输安全。 可靠传输：智能切换故障链路，保证数据传输可靠性。 全方位的售后服务 技术支持：一对一专属项目经理，724小时技术支持。 精准调度：全网节点实时监控，基于质量的精准调度。 服务保障：全面的源站性能监控及多种负载均衡策略，保障服务不中断。

本节介绍云下一代防火墙变更配置。 云下一代防火墙变更配置仅支持从单节点升配为主备部署和增加可选功能，不支持变更版本，也不支持去勾选可选功能： 主备部署模式变更 云下一代防火墙支持从单节点升配为主备部署，主备部署的防火墙可形成高可用，避免单点故障风险。 在实例监控页面点击升配按钮。 在升配页面的主备部署模式选择“主备部署”即可。 注意 云一代防火墙升配为主备部署模式会自动部署一套防火墙，如有需要可提工单联系售后人员完成相关网络配置。 云下一代防火墙升配主备模式后不可恢复，升级前请核实需求。 增加可选功能模块 云下一代防火墙支持补充订购扩展功能模块，扩展功能订购做功能升级处理，资费按照每月每功能模块计算。 1.在实例监控页面，点击升配按钮。 2.在升配页面，勾选需要增加的可选功能模块即可。

方案优势 针对需求变动频繁、开发测试环境复杂、多版本分支维护困难、无法有效监控进度和质量等研发痛点，提供一站式云端管理平台，管理软件开发全过程。 提供可视化、可定制的持续交付流水线服务，实现持续交付，让软件上线提速一倍。

增强型云主机配套25GE智能网卡，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。 在售型号：c8ne、m8ne 停售型号：c7ne 适用场景 增强型云主机适用各种于网络密集型应用与企业级应用： NFV/SDWAN 移动互联网 视频弹幕 电信业务转发 大中型数据库系统、缓存、搜索集群 大数据分析和机器学习 增强型弹性云主机特点 规格名称 计算 磁盘类型 网络 网络增强计算型c8ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强内存型m8ne 1.CPU/内存配比：1:8 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.XSSD0 2.XSSD1 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3600万PPS 4.最大内网带宽：64Gbps 网络增强计算型c7ne 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2148 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3000万PPS 4.最大内网带宽：32Gbps

本文介绍了如何使用Nginx代理天翼云弹性文件服务。 应用场景 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSDlike协议下发行。其特点是占有内存少，并发能力强，事实上Nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用Nginx网站用户有百度、京东、新浪、网易、腾讯、淘宝等。 本案例中，使用一台Nginx做反向代理服务器，三台Nginx做负载均衡的代理服务。因为使用用户可能非常多，所以需要做负载均衡。后端使用天翼云的弹性文件服务。天翼云弹性文件服务用于存储文件，如图片、视频、镜像回源文件或者一些用户的静态数据等。不同的Nginx代理服务器之间共享访问文件系统数据。 方案使用云产品 弹性文件服务，弹性云主机 方案架构 配置的架构如下图： 准备工作 在开始之前需要创建一个虚拟机私有云VPC，一个文件系统，四台云主机，其中一台做反向代理服务器，三台做负载均衡的代理服务。具体操作如下： 1. 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 2. 创建该VPC下的弹性云主机，操作系统为Linux，此处以CTyunOS 2.0.1为例演示，具体操作步骤参见创建弹性云主机。 3. 创建该VPC下的文件系统，文件系统的协议类型为NFS，具体操作步骤参见创建文件系统。

云堡垒机可以管理多个子网的资源吗？ 可以。 子网是属于VPC的资源，同一VPC内的子网可以进行通信，即云堡垒机可以直接管理同一VPC多个子网内的资源，且同一VPC不同子网下的云堡垒机可以通信。 堡垒机和主机必须要在同一个区域，同一个VPC下。跨VPC的子网默认不能通信，受限于跨VPC场景下网络的复杂性和网段冲突的可能性，不建议跨VPC使用云堡垒机管理资源。 云堡垒机支持管理哪些数据库？ 云堡垒机支持通过或两种方式管理数据库，可管理多种协议类型的云上数据库。主机运维方式提供增删改查操作命令审计。应用运维方式提供操作会话视频审计。 标准版仅支持应用运维方式，不支持直接运维数据库，需要建立应用发布服务器才可以运维数据库。 专业版支持主机运维和应用运维两种方式，支持直接运维数据库。 主机运维方式 目前云堡垒机主机运维，支持管理四种协议类型的云上数据库，包括MySQL、SQL Server、Oracle、DB2协议类型，暂不支持管理PostgreSQL协议类型。云堡垒机支持数据库协议类型、版本，以及支持调用的数据库客户端软件版本，请参见表。 支持数据库协议类型、版本和数据库客户端 数据库类型 版本 支持调用客户端 MySQL 5.5，5.6，5.7，8.0 Navicat 11、12 MySQL Administrator 1.2.17 MySQL CMD Microsoft SQL Server 2017 Navicat 11、12 SSMS 17.6 Oracle 10g，11g，12c Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12 PL/SQL Developer 11.0.5.1790 DB2 DB2 ExpressC DB2 CMD命令行11.1.0 PostgreSQL 暂不支持

命令注入 利用各种调用系统命令的Web应用接口，通过命令拼接、绕过黑名单等方式在服务端形成对业务服务攻击的系统命令，从而实现对业务服务的攻击。 代码注入 利用Web应用在输入校验上的逻辑缺陷，或者部分脚本函数本身存在的代码执行漏洞，而实现的攻击手法。 敏感文件访问 一些涉及操作系统、应用服务框架的配置文件、权限管理文件等作为业务核心敏感的文件不应该被Internet上的请求所访问，否则会影响业务的安全。 服务端请求伪造 一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因是服务端提供了从其他服务器应用获取数据的功能，在用户可控的情况下，未对目标地址进行过滤与限制，导致此漏洞的产生。 网站后门 Webshell是一种Web入侵的脚本攻击工具，攻击者在入侵了一个网站后，将asp、php、jsp或者cgi等脚本文件与正常的网页文件混在一起，然后使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。因此也有人称之为网站的后门工具。 盗链 盗链是指对方网站直接链接您网站上的文件，而不是将其置于自己的服务器上。一般而言，盗链的对象大多为耗带宽的大体积文件，如图片、视频等。从某种意义上说，造成了让您为其访问流量买单，不仅您的服务器带宽被无任何回报地占用，而且往往会在很大程序上影响您网站的访问速度。

本章节介绍什么是媒体存储。 产品简介 媒体存储（CTXStor，原对象存储融合版）是天翼云基于分布式数据存储和媒体处理技术，为客户提供海量视频、图片及其他非结构化数据存取与处理的云服务，具有弹性灵活、安全可靠、高性价比等优点，支持多种存储协议及多档资源类型，深度匹配各类行业场景应用。 产品架构 支持多种网络接入，如公网、内网、专线等接入方式，满足用户不同的网络环境情况。 提供多种接入方式，如标准存储协议、流直存，并提供丰富的API与SDK，供用户、开发者使用，便捷快速上云。 通过数据迁移服务，用户可以轻松地将海量数据迁入媒体存储。 提供多种标准存储协议以及多档资源类型，精细匹配应用场景需求。 搭配基础管理、生命周期、数据安全与数据处理等功能，完成数据的全生命周期管理。 重要特性 版本控制：媒体存储支持版本控制，针对Object的覆盖和删除操作以历史版本的形式保存下来，可将 Object 恢复至任意的历史版本。 存储桶复制：支持跨不同存储区域或同一存储区域的Bucket 自动、异步（近实时）复制对象（Object），可根据配置，将源桶Object的创建、更新和删除等操作复制到目标Bucket。 合规保留：开启合规保留后，处于合规保留期的对象均“不可删除、不可篡改”。 图片处理：针对媒体存储内存储的图片文件（Object），您可以在GetObject请求中携带图片处理参数对图片文件进行处理。例如添加图片水印、转换格式等。 媒体存储为客户提供更多数据管理、数据安全和数据处理等功能，详情请参见 产品功能 文档。

本文简述天翼云应用加速产品支持的压缩算法及配置方式。 背景介绍 在一些大文件传输业务场景，尤其在业务高峰期，会占用很多宝贵的带宽资源且增加发送时间，降低加速体验效果。在此背景下，我们提出对上下行传输内容同时进行压缩，提升中间节点传递速度，同时降低带宽成本。 当前CDN厂商常用的压缩方法有Gzip压缩和Brotli压缩算法。 Gzip压缩算法 Gzip基于DEFLATE算法，它是LZ77和霍夫曼编码的组合，最早用于UNIX系统的文件压缩。HTTP协议上的Gzip编码是一种用来增进Web应用程序性能的技术，Web服务器和客户（浏览器）必须共同支持Gzip，当下主流的浏览器都是支持Gzip压缩，包括IE6、IE7、IE8、IE9、FireFox、Google Chrome、Opera 等。 Brotli压缩算法 Brotli通过变种的LZ77算法、Huffman编码以及二阶文本建模等方式进行数据压缩，特别侧重于HTTP压缩，与其他压缩算法相比，通常可以获得更高的压缩效率。 功能介绍 天翼云应用加速产品目前仅支持Gzip压缩功能，开启压缩功能后，可以减少平台中传输的内容，能够带来两个明显的好处，一是降低节点带宽，二是通过网络传输文件时，可以减少传输的时间。 应用加速会对传输在应用加速上行和下行的数据同时进行压缩： 对于上行而言，传输内容在边缘节点压缩后，在回源节点进行解压缩后传给源站。 对于下行而言，回源节点进行压缩，在边缘节点进行解压缩后返回给客户端。 注意 1.常用的视频类型（MP4、WMV、AVI等）和图片类型（JPG、PNG、JPEG等）一般已进行压缩处理，无需再开启Gzip压缩。 2.建议仅针对大文件传输开启压缩功能。

静态内容 指用户在一定时间内多次访问某一内容或者多个用户访问某一内容，源站响应返回的数据都是相同的内容。例如：html、css和js文件、图片、视频、软件安装包、apk文件、压缩包文件等。静态内容对全站加速来说是可缓存的，可通过在客户控制台上对相应文件设置一定长度的缓存过期时间来实现缓存。 动态内容 指用户多次访问某一内容或者多个用户访问某一内容，源站响应返回的数据均不相同。例如：.jsp、.asp、.php、.perl、.cgi文件和API接口等，常见于需要数据库查询且会动态变化的场景，例如余票查询，支付信息，动态会话等场景。动态内容一般不可缓存，需要使用全站加速得到加速效果。 缓存Key 缓存Key是一个文件在节点上缓存时唯一的身份ID，每个在节点上缓存的文件都会对应一个缓存Key。通常默认情况下，文件的缓存Key为客户端请求的原始URL（带参数）。通过自定义缓存Key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。功能介绍，详情请见：缓存key设置。 去问号缓存 对于可缓存的文件，节点通常会将用户请求的原始URL作为缓存key。如果原始URL中携带问号后参数，且不同参数实际指向同一份文件时，可以配置开启去问号缓存，此时节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。功能介绍，详情请见：缓存过期时间。

本文主要介绍C3P0连接池监控 介绍APM采集的C3P0连接池监控指标的类别、名称、含义等信息。 表 C3P0连接池监控采集参数 参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 获取连接调用链上报时间阈值(ms) integer JAVA 1 2.1.3 getConnection方法调用链上报阈值，不超过该阈值不上报。 getConnection时是否获取池内信息 radio JAVA false 2.1.3 getConnection时是否获取池内信息。 表 C3P0连接池监控指标说明 指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 ::::::: 数据源（dataSource，数据源。） url url url ENUM LAST 数据源（dataSource，数据源。） driverClass 驱动 驱动 STRING LAST 数据源（dataSource，数据源。） initialPoolSize 初始化连接数 初始化连接数 INT LAST 数据源（dataSource，数据源。） minPoolSize 连接池大小下限 连接池大小下限 INT LAST 数据源（dataSource，数据源。） maxPoolSize 连接池大小上限 连接池大小上限 INT LAST 数据源（dataSource，数据源。） numIdleConnections 空闲连接数 空闲连接数 INT LAST 数据源（dataSource，数据源。） numBusyConnections 活跃连接数 活跃连接数 INT LAST 数据源（dataSource，数据源。） numConnections 获取连接总数 获取连接总数 INT LAST 数据源（dataSource，数据源。） maxIdleTime 连接最大空闲时间 连接最大空闲时间 INT LAST 数据源（dataSource，数据源。） idleConnectionTestPeriod 空闲连接检查周期 空闲连接检查周期 INT LAST 数据源（dataSource，数据源。） testConnectionOnCheckout 检出连接有效性校验 检出连接有效性校验 STRING LAST 数据源（dataSource，数据源。） testConnectionOnCheckin 检入连接有效性校验 检入连接有效性校验 STRING LAST 数据源（dataSource，数据源。） acquireRetryAttempts 获取连接重试次数 获取连接重试次数 INT LAST 数据源（dataSource，数据源。） acquireRetryDelay 获取连接重试间隔 获取连接重试间隔 INT LAST 数据源（dataSource，数据源。） acquireIncrement 无连接可用时创建连接数 无连接可用时创建连接数 INT LAST 获取连接详情（connection,获取连接详情。） url 连接地址 连接地址 ENUM LAST 获取连接详情（connection,获取连接详情。） invokeCount 调用次数 调用次数 INT LAST 获取连接详情（connection,获取连接详情。） totalTime 总时间 总时间 INT LAST 获取连接详情（connection,获取连接详情。） errorCount 错误次数 错误次数 INT SUM 获取连接详情（connection,获取连接详情。） maxTime 最慢调用 最慢调用 INT SUM 获取连接详情（connection,获取连接详情。） range1 010ms 响应时间在010ms范围请求数 INT SUM 获取连接详情（connection,获取连接详情。） range2 10100ms 响应时间在10100ms范围请求 INT SUM 获取连接详情（connection,获取连接详情。） range3 100500ms 响应时间在100500ms范围请求 INT SUM 获取连接详情（connection,获取连接详情。） range4 5001000ms 响应时间在5001000ms范围请求 INT SUM 获取连接详情（connection,获取连接详情。） range5 110s 响应时间在110s范围请求数 INT SUM 获取连接详情（connection,获取连接详情。） range6 10s以上 响应时间在10s以上请求数 INT SUM 获取连接详情（connection,获取连接详情。） concurrentMax 最大并发 最大并发 INT MAX 版本（version，版本。） 异常（exception，C3P0调用的异常信息统计。） version 版本 版本 STRING LAST 版本（version，版本。） 异常（exception，C3P0调用的异常信息统计。） exceptionType 异常类型 异常类型 ENUM LAST 版本（version，版本。） 异常（exception，C3P0调用的异常信息统计。） causeType 异常类 发生异常的类 ENUM LAST 版本（version，版本。） 异常（exception，C3P0调用的异常信息统计。） count 次数 该异常的发生次数 INT SUM 版本（version，版本。） 异常（exception，C3P0调用的异常信息统计。） message 异常消息 该异常产生的异常消息 STRING LAST 版本（version，版本。） 异常（exception，C3P0调用的异常信息统计。） stackTrace 异常堆栈 该异常产生的堆栈信息 CLOB LAST

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包重复动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 对业务接口（特别是写操作接口，如创建订单、支付、更新状态等）发起请求，并观察其行为。一个设计良好的幂等接口，即使收到重复请求，也应该只执行一次业务逻辑，并返回一致的结果。如果出现数据重复创建、状态被错误覆盖等问题，则说明幂等性设计存在缺陷。

本文主要介绍SQL Server实例的功能概览。 SQL Server实例主要包括如下功能： 连接数据库 连接SQL Server实例 申请或释放外网地址 查看或修改内外网地址和端口 管理实例 创建 SQL Server实例 重启实例 续订 手动续费 自动续费 实例规格变更 磁盘扩容 备份空间扩容 实例类型升级 绑定/解绑弹性公网IP 修改数据库端口 修改安全组 主备切换 退订 账号与权限 创建账号 重置密码 修改权限 删除账号 系统账号说明 管理参数 使用控制台设置参数 使用SQL命令设置参数 查看参数修改历史记录 参数模板管理 创建参数模板 比较参数模板 复制参数模板 重置参数模板 应用参数模板 修改参数模板描述 删除参数模板 修改参数模板中的参数 备份与恢复 备份 设置自动备份策略(合并备份清理) 数据备份 创建手动备份 备份清理 删除手动备份 恢复 恢复SQL Server数据 按备份集恢复数据 将数据恢复至指定时间点 服务可用性 手动切换主备切换 查看主备切换日志 查看数据复制方式 监控告警 查看资源和引擎监控 管理报警 管理数据库 创建数据库 删除数据库 SQL命令管理数据库 日志管理 查看日志 任务列表 任务列表

一体化终端安全管理平台 高效防护：病毒防护为基础，以主动实时防御为核心，联动漏洞自修复引擎自动闭环高危风险，形成“监测阻断修复”的一体化防御链路，助力企业缩减终端暴露面，提升威胁响应速度。 全面管控：终端、软件、U盘等资产看得清，员工上网行为、AI使用行为可管控，限制员工主动退出客户端行为，确保安全管控策略持续生效，保障终端系统及数据安全。 身份追踪：终端安全身份追踪能精准锁定终端设备中每个身份的操作轨迹，基于身份与设备实时监测、深度溯源与高效防控，管理员可轻松识别风险设备和员工。 持续生长：丰富的终端安全能力融合在一个轻量客户端中，可持续生长零信任访问、混合办公等能力，增强办公效率，无需替换客户端极简交付。 智能安全：实时监测新安装 AI 应用，多视图检视AI 漏洞分布，自动生成修复建议，形成“发现 定位 处置”高效闭环管理，让AI更安全。 完善的售后服务 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师 7×24 小时在线支持，所有节点都有现场服务工程师进行服务保障。

清理segment 每个segment的FST结构都会被加载到内存中，并且这些内存是不会被垃圾回收的。因此如果索引的segment数量过大，会导致内存使用率较高，建议定期进行清理。 1.在Kibana执行如下命令，查看各节点的segment数量和占用内存大小。 GET /cat/nodes?v&hsegments.count,segments.memory&ssegments.memory:desc 2.若segment占用内存过高时，可以通过删除部分不用的索引、关闭索引或定期合并不再更新的索引等方式释放内存。 清理cache 在Kibana执行如下命令清理cache。 POST cache/clear Elasticsearch集群平均已用内存比例达到98% 问题现象 查看集群监控发现，ES集群“平均已用内存比例”一直处于98%，用户担心内存比例过高是否对集群有影响。 问题原因 在ES集群中，Elasticsearch会占用50%内存，另外50%内存会被Lucene用于缓存文件，因此节点内存占用会一直很高，平均已用内存比例达到98%是正常现象，请您放心使用。 解决方案 您可以关注“最大JVM堆使用率”和“平均JVM堆使用率”这两个指标来监控集群内存使用情况。

本文介绍安全加速产品优势。 覆盖丰富的资源覆盖 国内拥有丰富的节点覆盖承载能力，覆盖多运营商、主要省份和城市无盲点。 加速节点可根据需求随时增加，致力于客户的发展壮大。 特色特色的安全防护 敏感信息回显脱敏，保护用的身份证号、手机号和卡号等敏感信息。 撞库攻击防护，防止网站撞库攻击，保护网站用户数据安全。 恶意挖矿防护，识别js挖矿脚本，避免访问网站的用户被利用成“挖矿机”。 客户端防广告，移除客户端被插入的广告，保护内容安全。 安全可靠的安全防护 分布式集群防护，单点故障自动转移，确保网站的高可用性。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 精准防护，域名粒度的防护策略，结合客户自身业务定制化防护策略。 维护完善的售后服务 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师7×24小时在线支持，所有节点都有现场服务工程师进行服务保障。 便捷便捷的接入方式 安全加速一体化，基于CDN的架构，实现加速防护一体化。 零部署、零运维、使用CNAME接入，云端安全专家配置策略

日志同步 在大型业务系统设计中，为了快速定位问题，全链路追踪日志，以及故障及时预警监控，通常需要将各系统应用的日志集中分析处理。 Kafka设计初衷就是为了应对大量日志传输场景，应用通过异步方式将日志消息同步到消息服务，再通过其他组件对日志做实时或离线分析，也可用于关键日志信息收集进行应用监控。 日志同步主要有三个关键部分：日志采集客户端，Kafka消息队列以及后端的日志处理应用。 1. 日志采集客户端，负责用户各类应用服务的日志数据采集，以消息方式将日志“批量”、“异步”发送Kafka客户端。 Kafka客户端批量提交和压缩消息，对应用服务的性能影响非常小。 2. Kafka将日志存储在消息文件中，提供持久化。 3. 日志处理应用，如Logstash，订阅并消费Kafka中的日志消息，最终供文件搜索服务检索日志，或者由Kafka将消息传递给Hadoop等其他大数据应用系统化存储与分析。 图 日志同步示意图 上图中Logstash、ElasticSearch分别为日志分析和检索的开源工具，Hadoop表示大数据分析系统。

密钥是由用户自己远程创建，且创建过程需要仅用户持有的Ukey参与认证。 加密机的配置和内部密钥的准备，都必须要使用这一组Ukey作为鉴权凭证才能操作。 用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：目标占用率，例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到磁盘填充动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测磁盘使用率指标。 2、业务应用验证： 检查运行在目标节点上的业务 Pod 的日志，确认是否存在因“设备上没有剩余空间”（No space left on device）而导致的错误。 测试依赖磁盘写入的功能（如日志记录、文件上传、数据持久化到 emptyDir 卷等），确认其是否按预期失败或触发了正确的降级逻辑。 验证您的磁盘空间监控告警是否被成功触发。 执行 kubectl describe node [节点名称]，查看 Conditions 中是否出现 DiskPressure 状态，以及是否有 Pod 被 kubelet 驱逐（Evicted）的事件记录。

本章节介绍应用服务网格CSM产品定义 什么是应用服务网格CSM？ 天翼云应用服务网格（CSM）提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 核心功能 网格全生命周期管理：一键创建、销毁网格实例、网格规格扩容，支持日志、链路、指标等自动化配置；实现Sidecar定制化配置，支持Sidecar注入策略及Sidecar代理配置能力。 流量治理能力：支持原生的istio流量治理能力，并提供了本地限流、流量打标、全链路灰度等高阶治理能力；无缝对接云容器引擎，实现多集群统一治理。 可观测及安全策略：支持数据面指标监控，提供控制面和数据面日志及链路追踪能力；支持全链路加密通信，请求认证授权，集成外部授权服务和OPA策略引擎，支持控制台API操作审计。 应用服务网格CSM的核心功能说明如下。更多信息，请参见用户指南。 功能项 说明 相关文档 网格管理 网格可观测、OPA配置等配置能力，全局命名空间管理。 网格管理 sidecar管理 sidecar注入策略配置，sidecar代理配置。 sidecar管理 集群与工作负载管理 ServiceEntry管理，多集群管理。 集群与工作负载 流量治理 提供多集群治理能力，支持基于istio CRD的流量治理，以及扩展的高阶治理能力。 流量管理中心 安全策略 一键开启mTLS安全链路，支持丰富的请求认证和授权策略，支持使用外部授权服务对网格内的服务进行访问授权，支持一键集成OPA策略引擎。 网格安全中心 可观测管理 指标监控，数据面、控制面日志监控能力。 可观测管理中心 网格优化 sidecar资源管理，服务发现范围配置以及自适应配置分发配置。 网格优化中心 网关 ingress、egress网关生命周期管理。 网关

实施步骤 （1）购买一台弹性云主机，确保弹性云主机与源集群、目标集群网络互通。 （2）登录弹性云主机，安装Java JDK，并配置JAVAHOME与PATH环境变量。其中“/usr/local/java/jdk1.8.0161”为JDK的安装路径，请根据实际情况修改。 exportJAVAHOME/usr/local/java/jdk1.8.0161 exportPATH$JAVAHOME/bin:$PATH （3）下载安装kafka 下载页面： （4）进入kafka安装目录，修改“config/connectmirrormaker.properties”配置文件，在配置文件中指定源集群和目标集群的IP地址和端口以及其他配置。 （5）在kafka安装目录下，启动MirrorMaker，进行数据同步。 ./bin/connectmirrormaker.sh config/connectmirrormaker.properties 验证数据是否同步 要验证MirrorMaker是否成功同步数据，可以采取以下几种方法： 1. 检查目标集群的主题和分区： 在目标集群上使用Kafka命令行工具或管理工具，查看MirrorMaker复制的主题和分区是否存在。确保目标集群上有与源集群相同的主题和分区。 2. 检查消息偏移量： 使用Kafka消费者API或命令行工具，从目标集群中消费复制的消息。验证消息的偏移量是否与源集群中的消息偏移量一致。如果偏移量相同，表示数据同步成功。 3. 检查消息内容： 从目标集群中消费复制的消息，并与源集群中的消息进行比较。验证消息内容是否一致。可以使用Kafka消费者API或命令行工具来消费消息，并进行比较。 4. 监控MirrorMaker的指标： 在MirrorMaker节点上启用监控，收集关于复制进度、延迟和吞吐量等指标的数据。通过监控指标，可以了解MirrorMaker的工作状态和性能表现，进一步验证数据同步的情况。 5. 进行端到端测试： 在源集群中发送一些测试消息，并在目标集群中验证这些消息是否被成功复制。可以使用Kafka生产者API或命令行工具发送测试消息，并使用Kafka消费者API或命令行工具从目标集群中消费并验证消息。 通过以上方法，可以验证MirrorMaker是否成功同步数据，并确保数据在源集群和目标集群之间的一致性。根据实际需求，可以选择适合的验证方法或组合多种方法来进行验证。

本节主要介绍Redis实例CPU使用率高问题排查和解决 问题现象 Redis实例CPU使用率短时间内冲高。 可能原因 1. 客户的业务负载过重，qps过高，导致CPU被用满，排查方法请参考排查QPS是否过高。 2. 使用了keys等消耗资源的命令，排查及处理措施请参考查找并禁用高消耗命令。 3. 发生Redis的持久化重写操作，排查及处理措施请参考是否存在Redis的持久化重写操作。 排查QPS是否过高 在分布式缓存服务控制台的缓存管理页面，单击实例进入实例详情界面，单击左侧的性能监控，进去性能监控页面，可以查询实例级别的每秒并发操作数（qps）。 查找并禁用高消耗命令 使用了keys等消耗资源的命令，高消耗资源的命令即时间复杂度为O(N)或更高的命令，通常情况下，命令时间复杂度越高，在执行时消耗的资源越高，这会导致CPU使用率超高，容易触发主备倒换。关于各命令对应的时间复杂度信息请参见Redis官网。例如，使用了keys等消耗资源的命令，导致CPU超高，建议客户改成scan命令或者禁用keys命令。 步骤 1 通过性能监控功能，确认CPU使用率高的具体时间段。 步骤 2 通过下述方法，找出高消耗的命令。 慢查询功能会记录执行超过指定时间阈值的命令，通过分析慢查询的语句和执行时长可帮助您找出高消耗命令，具体操参见查询Redis实例慢查询。 通过实例诊断功能，选择CPU冲高的时间点进行诊断后，可以看到报告中的对应时间段命令的执行情况以及CPU耗时百分比，具体操作参见实例诊断。 步骤 3 处理措施。 评估并禁用高风险命令和高消耗命令，例如 FLUSHALL 、 KEYS 、HGETALL等。 优化业务，例如避免频繁执行数据排序操作。 可选： 根据业务情况，选择下述方法对实例进行调整： 调整实例为读写分离实例，对高消耗命令或应用进行分流。 扩容实例增强实例处理能力。

适用场景 客户端存在Range请求，且源站支持Range，可响应指定范围内的内容数据时，建议开启分片回源功能，以提高文件分发效率及缓存利用率。 一般源站内容是视频、APP等大文件的场景下，建议开启分片回源功能。 注意事项 开启分片回源前需确认源站是否支持Range请求，即源站能够响应对应范围内的206文件分片内容，如果源站不支持Range请求，开启分片回源可能会导致资源无法缓存。 开启分片回源时（非自适应回源），边缘安全加速会将用户请求（无论原始请求是否为Range请求）拆分成若干个Range请求回源，以一个100MB的文件为例，在分片回源开启时，边缘安全加速获取完整文件需要回源100次，一定程度上会增加回源访问请求数和并发量，请合理设置分片大小。默认Range分片大小为1MB，即：如果客户端请求Range: bytes0100，则在CDN节点回源时会将Range请求扩大为1MB。 请在新增域名时明确是否开启分片回源，以及开启分片回源的具体分片大小；一旦域名CNAME至我司产生流量后，建议不要轻易变更分片回源功能的分片大小，否则可能会产生较高回源；如确实有调整需求，请在提交工单时特殊说明。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 1. 回源分片大小，默认为1MB；如需设置为其他值，请详细说明。 2. 开启分片回源功能的范围，默认为域名粒度；如需设置为仅部分文件，请说明具体的文件范围，例如xx目录，或xx文件后缀（如.mp4、.flv等）。 3. 如需开启自适应回源，请特殊说明。

在告警管理中创建飞书（Lark）机器人后，您可以在通知策略中指定对应的飞书（Lark）群用于接收告警。当通知策略的匹配规则被触发时，系统会自动向您指定的飞书（Lark）群发送告警通知。飞书（Lark）群收到通知后，您可以在群中对告警进行管理。 操作步骤 步骤一：获取机器人Webhook地址 1. 打开并登录飞书（Lark）。 2. （可选） 单击+ 图标，然后单击创建群组，新建一个用于发送告警的群组。 3. 在飞书群右上角选择 > 设置 ，然后单击群机器人。 4. 在群机器人 面板单击添加机器人，然后选择自定义机器人。 5. 在机器人配置页设置机器人名称和描述，然后单击添加。 6. 复制Webhook地址，然后选中自定义关键词并输入关键词为告警。 7. 单击完成。 步骤二：在应用性能监控控制台中创建机器人 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击飞书/Lark。 3. 在新建机器人面板设置以下参数，然后单击确定。 参数 说明 名称 自定义飞书（Lark）机器人的名称。 机器人地址 输入飞书机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。

在告警管理中创建飞书（Lark）机器人后，您可以在通知策略中指定对应的飞书（Lark）群用于接收告警。当通知策略的匹配规则被触发时，系统会自动向您指定的飞书（Lark）群发送告警通知。飞书（Lark）群收到通知后，您可以在群中对告警进行管理。 操作步骤 步骤一：获取机器人Webhook地址 1. 打开并登录飞书（Lark）。 2. （可选） 单击+ 图标，然后单击创建群组，新建一个用于发送告警的群组。 3. 在飞书群右上角选择 > 设置 ，然后单击群机器人。 4. 在群机器人 面板单击添加机器人，然后选择自定义机器人。 5. 在机器人配置页设置机器人名称和描述，然后单击添加。 6. 复制Webhook地址，然后选中自定义关键词并输入关键词为告警。 7. 单击完成。 步骤二：在应用性能监控控制台中创建机器人 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击飞书/Lark。 3. 在新建机器人面板设置以下参数，然后单击确定。 参数 说明 名称 自定义飞书（Lark）机器人的名称。 机器人地址 输入飞书机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。

查看训练任务 1. 查看任务列表，此时状态已转变为运行中 2. 单击训练任务，查看训练任务事件、日志输出以及监控 3. 最终任务完成状态变为成功

版本 免费版 企业版 版本说明 完全免费，最多可接入10个Agent在线，每过15天需要用户重新激活 所有功能完全开放 数据存储时长 7天 30天 应用拓扑 √ √ 调用链 √ √ 跨Region调用链跟踪 √ √ 指标监控 √ √ URL跟踪分析 √ √ 告警 √ √ CMDB √ √ 说明（是否支持，√表示支持，x表示不支持）

本小节介绍容器安全内容。 容器安全能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、容器文件监控、容器信息收集和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。