本文介绍函数运行时的Response的定义与用法。 您可以使用new Response()构造函数来创建一个Response对象，但通常更可能遇到的情况是，其他的API操作返回一个Response对象。例如一个FetchEvent.respondWith，或者一个简单的fetch()。 详细定义请参见MDN官方文档Response。 构造函数 javascript let response new Response(body, init) 参数 body 可选，定义响应正文的对象。可以是null或以下任何一种类型： BufferSource FormData（即将支持） ReadableStream URLSearchParams USVString init 可选，包含要应用于Response的自定义设置。 status int 响应的状态码，例如200。 statusText string 与状态代码关联的状态消息，例如OK。 headers Headers ByteString Headers对象或要添加到响应头的ByteString键/值对。 属性 body ReadableStream 读取响应正文的只读流。 bodyUsed boolean 表示响应是否读取过正文。 headers Headers 响应的头信息。 ok boolean 表示响应是否成功（HTTP状态码的范围在200299）。 redirected boolean 表示响应是否来自一个重定向，如果是的话，它的URL列表将会有多个条目。 status int 响应的状态码 （例如200表示成功）。 statusText string 与响应状态码一致的状态信息（例如，OK对应200）。 url string 响应的URL，该值是任何重定向后获得的最终URL。 webSocket 暂不支持。

本文介绍函数运行时中Response的定义与用法。 您可以使用new Response()构造函数来创建一个Response对象，但通常更可能遇到的情况是，其他的API操作返回了一个Response对象。例如一个FetchEvent.respondWith，或者一个简单的fetch()。 详细定义请参见MDN官方文档Response。 构造函数 javascript let response new Response(body, init) 参数 body 可选，定义响应正文的对象。可以是null或以下任何一种类型： BufferSource FormData（即将支持） ReadableStream URLSearchParams USVString init 可选，包含要应用于Response的自定义设置。 status int 响应的状态码，例如200。 statusText string 与状态代码关联的状态消息，例如OK。 headers Headers ByteString Headers对象或要添加到响应头的ByteString键/值对。 属性 body ReadableStream 读取响应正文的只读流。 bodyUsed boolean 表示响应是否读取过正文。 headers Headers 响应的头信息。 ok boolean 表示响应是否成功（HTTP状态码的范围在200299）。 redirected boolean 表示响应是否来自一个重定向，如果是的话，它的URL列表将会有多个条目。 status int 响应的状态码 （例如200表示成功）。 statusText string 与响应状态码一致的状态信息（例如，OK对应200）。 url string 响应的URL，该值是任何重定向后获得的最终URL。 webSocket 暂不支持。

本节介绍Web应用防火墙（独享版） 网站反爬虫类问题。 开启网站反爬虫后，为什么有些请求被WAF拦截但查不到拦截记录？ 当您开启网站反爬虫后，WAF将对该域名的第一个访问请求返回一个JavaScript代码，然后根据浏览器解析执行结果返回的数据来判断是否为合法的浏览器或爬虫工具。 网站反爬虫正常的检测流程如下： 1. 客户端访问网站，实际请求首先发送到WAF上。 2. WAF返回JavaScript代码到客户端。 3. 客户端解析JavaScript代码，并将执行结果返回给WAF。步骤3 WAF根据客户端返回的结果判断客户端是否为合法的浏览器。 1. 如果合法，则WAF将请求发送给源站服务器。 2. 如果非法，则WAF产生告警日志。 注意 开启网站反爬虫，要求客户端浏览器具有JavaScript的解析能力，并开启了Cookie。 如果客户端不满足以上要求，则只能完成步骤1和步骤2，此时： 对于客户端，请求没有成功获取到页面。 对于WAF，客户端并没有发送解析JavaScript代码的执行结果，因此没有拦截日志记录。 请您排查业务侧是否存在这种场景。如果您的网站有非浏览器访问的场景，建议您关闭网站反爬虫功能。

容灾形态对比 容灾形态 主要特征 优缺点 容灾能力评估 同城主备 备机房不接受业务流量 数据库单点写，同城备份 优势： 部署简单，接入成本低 灾备环境可用性强，数据质量有保障 缺点： 仅提供同城保护，容灾等级低 RPO：机房级故障，RPO秒级；地域级故障RPO不可控 RTO：机房级故障依赖备机房业务拉齐时间；地域级故障RTO不可控，依赖故障恢复 同城多活（DB主备） 应用机房级多活 数据库单点写，同城备份 优势： 部署简单，接入成本低 灾备环境可用性强，数据质量有保障 缺点： 仅提供同城保护，容灾等级低 RPO：机房级故障，RPO秒级；地域级故障RPO不可控 RTO：机房级故障秒级~分钟级；地域级故障RTO不可控，依赖故障恢复 异地灾备 备数据中心不接受业务流量 数据库单点写，异地备份 优势： 部署简单，对于业务侵入少 异地部署，具备更高容灾等级 缺点： 灾备单元不提供在线服务，切换可靠性差 冷备单元冗余100%成本，成本浪费 触发跨城切换的概率大 RPO：分钟级（取决于跨地域的数据复制能力） RTO：地域级故障RTO，依赖业务拉齐时间

示例 使用环境变量设置以下信息：安装文件的目录、存储输出的位置、存储连接和日志记录设置等。这些设置与应用程序逻辑解耦，在需要变更设置时，无需更新函数代码。 在如下函数代码片段中，参数“obsoutputbucket”为图片处理后存储地址。 def handler(event, context): srcBucket, srcObjName getObsObjInfo4OBSTrigger(event) obsaddress context.getUserData('obsaddress') outputBucket context.getUserData('obsoutputbucket') if obsaddress is None: obsaddress '{obsaddressip}' if outputBucket is None: outputBucket 'casebucketout' ak context.getAccessKey() sk context.getSecretKey() download file uploaded by user from obs GetObject(obsaddress, srcBucket, srcObjName, ak, sk) outFile watermarkimage(srcObjName) 将转换后的文件上传到新的obs桶中 PostObject (obsaddress, outputBucket, outFile, ak, sk) return 'OK' 通过设置环境变量obsoutputbucket，可以灵活设置存储输出图片的OBS桶。 环境变量

本文主要介绍了RDSPostgreSQL产品的高性能优势，主要体现为：深度性能优化、高质量的硬件基础、慢SQL检测和高效访问。 深度性能优化 天翼云多年的数据库研发、搭建和维护经验，结合RDSPostgreSQL的云化改造技术，大幅优化传统数据库，为您打造更高可用、更高可靠、更高性能、更高安全、弹性伸缩、便捷运维的天翼云数据库服务。 高质量的硬件基础 通过多年的研究、创新和开发，天翼云对RDSPostgreSQL进行了优化。在经过了多重考验的服务器硬件的支持下，RDSPostgreSQL变得更加稳定、高性能，能为您提供更加优质的数据库服务。 慢SQL检测 RDSPostgreSQL提供了慢SQL检测功能，您可以根据关系数据库服务检测到的慢SQL进行相应的优化，进一步提高数据库服务的性能和效率。 高效访问 通过内网通信，RDSPostgreSQL可以与同一地域的弹性云主机配合使用，缩短应用响应时间，同时节省公网流量费用。

相关服务 交互功能 弹性云主机(ECS) 关系数据库MySQL版服务配合弹性云主机 (Elastic Cloud Server，简称ECS)一起使用，通过内网连接关系数据库MySQL版可以有效地降低应用响应时间、节省公网流量费用。 虚拟私有云(VPC) 对您的关系数据库MySQL版实例进行网络隔离和访问控制。 对象存储服务(ZOS) 存储关系数据库MySQL版实例的自动和手动备份数据。 分布式数据库中间件服务(DRDS) 对于关系数据库MySQL版，使用分布式数据库中间件服务(Distributed Relational Database Service 简称 DRDS)，后端对接多个数据库实例，实现分布式数据库的透明访问。 数据迁移工具(DTS) 使用数据复制服务，实现数据库平滑迁移上云。 数据库管理工具(DMS) 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据库专家服务 专家团队为您提供数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决数据库各类问题，为您的数据库系统保驾护航。

分类 SSL证书域名证书 SSL证书IP证书 私有（内网）证书 个人证书 应用场景 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的 域名 。 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的 IP 。 用于 内网身份认证、系统间加密通信 和设备安全管理。 用于个人电子邮件或文档签名，无法用于网站HTTPS加密，常用于密评场景。 支持的加密标准 国际标准 国密标准 国际+国密 国际标准 国际标准 国密标准 国密标准 支持的证书种类 域名型证书（DV） 企业型证书（OV） 企业型基础版（OVBasic） 企业型专业版（OVPro） 增强型证书（EV） 增强型基础版（EVBasic） 企业型证书（OV） 企业型专业版（OVPro） 企业型基础版（OVBasic） 企业型证书（OV） 支持的证书版本 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 支持的域名类型 通配符 单域名 多域名 单IP 通配符 单域名 多域名

如何配置加密模式。 注意 若Kubernetes集群中部署了多套HBlock CSI，需在各自对应的安装路径下，配置加密模式。 对于配置文件中的一些敏感信息，可以采用加密模式进行配置。当使用的卷在HBlock中配置了质询握手认证协议（ChallengeHandshake Authentication Protocol，CHAP），则需要配置CHAP认证的用户名和密码。为了确保数据安全，建议采用加密模式来配置CHAP密码。 在使用CHAP方式时，输入的chapUser和chapPassword为加密字符串。加密字符串可以使用下列方法生成：使用deploy/csipluginconf/csisecretdecrypt.yaml中的DecryptData配置的密钥对原来的字符串进行AES（ECP、paddingcs7）加密，加密后的结果进行base64编码。 配置步骤 1. 配置加密密钥。 修改deploy/csipluginconf/csisecretdecrypt.yaml配置文件中的decryptFlag和decryptData参数。 plaintext apiVersion: v1 kind: Secret metadata: name: csipluginstorsecretdecrypt namespace: @DRIVERNAMESPACE@ type: Opaque data: 是否启用加密，配置为true（启用）或false（不启用）的base64编码字符串 decryptFlag: decryptFlag 密钥的base64编码字符串，密钥长度必须为16位 decryptData: decryptData 密钥的base64编码 参数 参数 描述 是否必填 metadata.name Secret资源的资源名称。 取值csipluginstorsecretdecrypt，不可更改。 是 metadata.namespace 绑定的Kubernetes命名空间。 取值： 如果已经安装 HBlock CSI：命名空间已确定，直接将该字段值修改为对应命名空间值，保持完成csiconfigMap.yaml文件的修改、保存并应用后，相关配置即可自动生效。 如果还未安装HBlock CSI：此字段取值保持为@DRIVERNAMESPACE@，执行deploy安装脚本时，即可自动替换为对应的命名空间。 是 decryptFlag 是否启用加密模式，配置为true（启用）或false（不启用）的Base64编码字符串。 取值： dHJ1ZQ：启用加密，true的Base64编码。 ZmFsc2U：不启用加密，false的Base64编码。 默认不启用加密。 否 decryptData 加密的密钥。 说明 启用加密，此参数必填。 取值：源码为16位的字符串。需要对源码进行Base64编码。 条件 示例： 1. 启用加密模式。例如decryptFlag的源码为true，decryptData的源码为stor012345678901。 2. 使用Base64工具对decryptFlag、decryptData的源码进行编码。 对decryptFlag源码进行Base64编码，编码后的decryptFlag如下： plaintext dHJ1ZQ 对decryptData源码进行Base64编码，编码后的decryptData如下： plaintext c3RvcjAxMjM0NTY3ODkwMQ 3. 修改配置文件deploy/csipluginconf/csisecretdecrypt.yaml配置文件中的参数。 plaintext apiVersion: v1 kind: Secret metadata: name: csipluginstorsecretdecrypt namespace: defualt type: Opaque data: decryptFlag: dHJ1ZQ decryptData: c3RvcjAxMjM0NTY3ODkwMQ 2. 应用配置文件csisecretdecrypt.yaml。 plaintext [root@server csipluginconf]

本文介绍访问DDoS高防（边缘云版）域名资源出现404状态码的排查过程。 问题现象 在使用天翼云DDoS高防（边缘云版）时，出现404报错页面。 问题原因 404状态码是HTTP协议中的一种状态码，表示客户端所请求的资源未找到。当服务器无法找到与请求的URL对应的资源时，会返回404状态码给客户端，Web浏览器中显示为“页面未找到”、“页面不存在”或类似的提示，具体如下图示： 导致该错误的原因可能有如下几种： 场景一：网站配置未正确配置：如果网站配置未正确配置，指向了错误的资源路径，源站会无法找到正确的内容，从而导致404页面的出现。 场景二：服务器资源不存在：如果网站管理员删除或重命名源服务器上的某个文件或目录，服务器对应旧URI路径的资源不存在，那么边缘节点将无法得到对应的文件，从而返回404状态码。 场景三：拼写错误或客户端URL生成规则错误：如果在URL中存在拼写错误、文件路径错误或客户端URL生成规则有误等问题，将无法在服务器找到对应的资源，从而返回404状态码。 解决方案 如果您遇到访问出现404页面的情况，根据不同场景，可以尝试以下解决方法： 场景一：检查网站配置是否正确：控制台网站配置的回源域名/回源IP、回源HOST、回源端口、回源协议等配置是否正确。 1、回源域名/回源IP错误：检查回源域名/回源IP配置是否为目标源服务器的域名或IP、拼写是否正确。 2、回源HOST配置错误：回源HOST用于指定边缘节点回源时，请求URI具体的资源站点位置。如果回源HOST配置错误，源站无法根据HOST定位到URI资源的站点位置，源站也会响应404。回源域名/回源IP、回源HOST的区分如下： 回源域名/回源IP：指您的源站服务器，即存储和提供网站内容的主要服务器，该地址决定了回源时建连的具体IP地址。 回源HOST：指边缘节点回源请求头中携带的HOST字段值，决定了回源请求访问到源IP地址上的具体站点位置。若未指定回源HOST，默认取值当前加速域名。 3、回源端口/回源协议配置错误：该问题通常存在于源站端口非默认80/443端口，或http、https仅单一协议中存在资源。例如： 源站HTTP服务端口为81，则需要修改回源配置，自定义【源站端口】为HTTP 81，同时需要修改回源协议为HTTP。 源站HTTPS服务端口为82，目前HTTPS服务端口不支持自助自定义，请提交工单联系天翼云客服进行配置。 源站仅单一协议存在资源（HTTP默认80端口，HTTPS默认443端口），则根据实际源站情况，修改回源协议为HTTP或HTTPS。

简述自定义重定向功能的应用场景和使用方法。 功能介绍 当客户源站的内容存放路径发生了变更，边缘节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更，这时就需要边缘节点改写用户请求里面的内容路径。例如：点播文件原先存放在目录“/stream/”，现在变更为“/vod/”。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向边缘节点发起访问，确保用户能获得正确的内容。 注意事项 该功能依赖客户端需要能支持重定向。 可以支持的重定向状态码类型：301、302、303、307、308。 配置说明 该功能暂不支持客户自助配置，如需使用，请提交工单给天翼云客服，由其帮您配置。 提交工单时，请附带如下信息： 参数 说明 状态码 例如：302。 待改写的Path 以/开头的path，不含 目标Path 以协议://域名开头的path，其中协议可为http/https（scheme），支持PCRE正则表达式，比如常用$1,$2来捕获待改写Path中圆括号内的字符串，目标Path值可设置为例如：$scheme://www.ctyun.cn/videos/$1。

本文介绍函数运行时的Response的定义与用法。 您可以使用new Response()构造函数来创建一个Response对象，但通常更可能遇到的情况是，其他的API操作返回了一个Response对象。例如一个FetchEvent.respondWith，或者一个简单的fetch()。 详细定义请参见MDN官方文档Response。 构造函数 javascript let response new Response(body, init) 参数 body 可选，定义响应正文的对象。可以是null或以下任何一种类型： BufferSource FormData（即将支持） ReadableStream URLSearchParams USVString init 可选，包含要应用于Response的自定义设置。 status int 响应的状态码，例如200。 statusText string 与状态代码关联的状态消息，例如OK。 headers Headers ByteString Headers对象或要添加到响应头的ByteString键/值对。 属性 body ReadableStream 读取响应正文的只读流。 bodyUsed boolean 表示响应是否读取过正文。 headers Headers 响应的头信息。 ok boolean 表示响应是否成功（HTTP状态码的范围在200299）。 redirected boolean 表示响应是否来自一个重定向，如果是的话，它的URL列表将会有多个条目。 status int 响应的状态码 （例如200表示成功）。 statusText string 与响应状态码一致的状态信息（例如，OK对应200）。 url string 响应的URL，该值是任何重定向后获得的最终URL。 webSocket 暂不支持。

参数 说明 名称 DNAT规则名称，名称系统自动生成。 端口类型 分为指定端口和所有端口两种类型。 指定端口：通过端口映射方式，NAT网关会将以指定协议和端口访问对应弹性公网IP的请求转发到私网IP绑定的实例上。 所有端口：通过IP映射方式，任何访问对应弹性公网IP的请求都将转发到目标私网IP绑定的实例上。 公网端口 端口类型设置为指定端口时；外部公网用户访问服务的端口，端口范围1~65535。部分资源池端口范围在1到1024之间，具体以控制台为准。 私网端口 端口类型设置为指定端口时；应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 分为TCP和UDP两种协议类型，端口类型为指定端口时，可选TCP或UDP，端口类型为所有端口时，此参数默认设置为全部。 公网IP 弹性公网IP。 私网IP实例类型 可以是虚拟机或裸金属，必选项。 描述 DNAT规则的描述信息，非必填项。

服务名称 物理机与其他服务的关系 镜像服务（CTIMS，Image Management Service） 通过镜像服务，您可以在物理机实例上实现应用场景的快速部署。您也可以将物理机转换为私有镜像，供个人使用，或者共享给他人。 虚拟私有云(CTVPC ，Virtual Private Cloud) 为物理机提供一个逻辑上完全隔离的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等，加强物理机的安全保护。 云硬盘（CTEVS，Elastic Volume Service） 可以将云硬盘挂载至弹性裸金属，并可以随时扩容云硬盘容量。 云监控 云监控提供了完备的监控项目，在您购买物理机后，即可在云监控的控制中心查看您的产品运行状态、各个指标的使用情况，并为监控项设置告警规则。 云审计 通过云审计服务，您可以记录与物理机相关的操作事件，便于日后的查询、审计和回溯。

Q：SDK 中输入的 desktopCode 是指什么？ A：desktopCode 是指桌面编码，用于唯一标识您的云电脑桌面实例。请注意，desktopCode 与桌面 ID 是两个不同的概念，请勿混淆，务必确认填写的是正确的桌面编码。 Q：如果我的云电脑桌面处于离线状态，是否仍然可以正常使用？ A：很抱歉，桌面处于离线状态时将无法正常接收和执行指令。请您先通过云电脑客户端或官网控制台将桌面开机并确认其处于在线运行状态后，再进行相关操作。 Q：通过 SDK 发送指令后，桌面没有任何响应，应如何排查？ A：建议您按以下步骤逐一排查： 1. 确认 SDK 指令格式是否正确，参数是否完整； 2. 检查接口返回的消息体中，是否包含成功标志（successtrue）； 3. 若上述检查均无异常，请进入目标桌面，打开「应用市场」，找到并重新安装以下两个插件：clinkagent 和 AiClientTool，安装完成后再重新发送指令。 如问题仍未解决，请联系我们的技术支持团队，并提供相关日志信息以便进一步协助排查。

本文介绍虚拟私有云网段扩展操作指导。 应用场景 当已有的VPC网段不能满足业务的发展，您可对VPC网段进行扩展。 前提条件 已开通虚拟私有云实例。 已开通虚拟私有云的网段10段掩码大于8、172段掩码大于12、192段掩码大于16。 操作指导 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟私有云>VPC和子网】，切换至VPC所在的地域，选择要操作的VPC，单击操作栏下的【扩展网段】。 3. 在弹窗中选择VPC网段掩码，新的掩码数要小于原来的掩码数，单击【提交】完成修改，修改后立即生效。 4. 可在VPC列表查看IPv4网段/范围已变成修改后的网段和范围。 说明 修改后的网段范围须大于原有的网段，即新的掩码数要小于原来的掩码数。 当VPC网段为系统最大可支持的网段，则不支持扩展网段，比如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。 暂不支持子网网段扩展。

服务网格支持基于请求源IP、host、请求目标端口的黑白名单管控策略，通常应用于Ingress网关。 黑白名单策略配置说明 配置项 说明 安全策略名称 策略名称 源地址(IPBlock) 请求的网络层IP，支持单IP（203.0.113.4）或CIDR记法（203.0.113.0/24） remoteIPBlock 通过XForwardedFor头部或者proxy protocol传递过来的请求IP信息，支持单IP（203.0.113.4）或CIDR记法（203.0.113.0/24） HTTP域名(Host) 请求的域名 端口(Port) 请求的目标端口 说明 黑名单模式：匹配的请求被拦截，其余请求放行 白名单模式：匹配的请求放行，其余请求被拦截 策略绑定 策略生效粒度 当前支持命名空间、服务、工作负载、网关的生效粒度配置，黑白名单策略通常用于Ingress网关场景，具体说明如下 生效粒度 说明 命名空间 策略下发到所选择命名空间下所有数据面 服务 策略下发到所选服务关联的工作负载数据面 工作负载 策略下发到指定工作负载的数据面 网关 策略下发到网关

本节主要介绍IAM用户绑定MFA。 对于IAM用户，点击“访问控制”>“安全凭证”>“MFA”，可以绑定MFA。 注意 MFA认证仅IAM用户支持，但是如果没有授权使用MFA认证，则IAM用户无法进行MFA认证。 点击“绑定”，进行MFA绑定，步骤如下： 1. 安装应用 在手机端下载安装基于时间的一次性密码（TOTP）口令认证工具。 2. 绑定MFA 可以使用扫码获取和手动获取两种方式获取验证码。 注意 输入的“第一组验证码”和“第二组验证码”必须是连续的。 3. 完成 注意 如果您后续不再使用 MFA ，并希望卸载已安装的动态口令工具，请先解绑已绑定的MFA设备。如果您在未解绑MFA的情况下卸载动态口令工具，可能会造成相关用户不可用，请慎重操作。

本文为邀请外部账号进行产品使用的实践介绍。 仅有实例创建者的主子账号可默认访问对应实例并进行产品使用。外部账号需申请体验并通过审核后方可使用。以下是外部账号邀请的具体流程。 使用申请 说明 以下为外部账号申请视角。 未申请或未通过申请的外部账号在点击产品入口后，浏览器会自动弹出申请页面。 外部账号点击“申请体验”，等待申请通过即可。 产品入口获取方式详见说明文档。 如果申请已审批通过，请刷新页面后即可进入慧政智能体产品页面。 申请审批 说明 以下为系统审批者视角。 仅慧政智能体应用的租户管理员（主账号默认为租户管理员）或拥有用户管理菜单权限的用户可以进行外部账号权限审批。 审批者操作： 点击【系统设置用户管理】，进入用户管理页面。 找到对应的待审批记录，点击【启用】，即可通过申请。

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

本小节介绍渗透测试操作类常见问题。 购买天翼云渗透测试业务后如何填写受理单内容？ 客户应如实填写以下信息： 被检测的IP主机信息。 域名备案信息比对，必须为客户本人真实、合法信息。 客户为天翼云托管用户，用户提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 客户提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，客户需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 客户如有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，乙方不承担任何责任。） 客户需签订渗透测试授权书。

当云主机中的云硬盘发生故障、或者由于人为误操作导致云主机数据丢失时,可以使用已经创建成功的备份恢复云主机。 背景信息 云主机备份仅支持将主机中的所有云硬盘作为整体进行备份和恢复，不支持对主机中的部分云硬盘进行备份和恢复。 备份的数据盘的数据，不能恢复到系统盘中。 不支持恢复到处于“故障”，“更新规格中”和“更新规格校验中”的主机。 前提条件 需要恢复的主机中的磁盘运行状态正常。 需要恢复的主机至少存在一个备份，并且需要恢复的主机的备份的“备份状态”为“可用”。 操作步骤 1. 登录云主机备份管理控制台。 a. 登录管理控制台。 b. 选择“存储 > 云主机备份”。 2. 选择“备份”页签，找到主机所对应的备份。 3. 单击备份所在行的“恢复”，如下图所示。 说明 恢复主机数据之后将导致备份时间点的数据覆盖主机数据，一旦执行，无法回退。 图 恢复主机 4. 可选：取消勾选“恢复后立即启动主机”。 如果取消勾选“恢复后立即启动主机”，则恢复主机操作执行完成后，需要手动启动主机。 注意 恢复主机的过程中会关闭主机，请在业务空闲时操作。 5. 在指定的磁盘下拉菜单中选择备份需要恢复到的磁盘。 说明 如果主机只有一个磁盘，则默认恢复到该磁盘。 如果主机存在多个磁盘，默认将备份恢复到原来的磁盘，也可以通过在“指定的磁盘”下拉菜单中重新选择磁盘的操作将备份恢复到备份主机中的其他磁盘中。但是指定的磁盘容量不能小于之前的磁盘容量。 备份的数据盘的数据，不能恢复到系统盘中。 注意 如果当前恢复的主机磁盘数量大于备份时刻的磁盘数量时，需要考虑数据的一致性问题，谨慎执行恢复操作。例如，Oracle应用的数据分散在被恢复及未被恢复的目标磁盘上，在恢复后可能导致数据不一致（被恢复的磁盘还原到历史数据，未被恢复的磁盘仍保留当前数据），甚至导致应用无法启动。 6. 单击“确定”，并确认备份恢复是否成功。 您可以在备份列表中，查看备份恢复的执行状态。直到备份的“备份状态”恢复为“可用”，并且“任务状态”中没有新增失败的恢复任务时，表示恢复成功。 说明 当您恢复的主机为Windows操作系统时，由于操作系统自身原因，恢复完成后可能无法显示数据盘。当您使用云主机备份恢复逻辑卷组（LVM）时，恢复完成后需手动重新挂载。

本页介绍了分布式融合数据库HTAP产品支持的功能。 分布式融合数据库HTAP产品功能概览帮助您快速了解产品功能的支持情况。 资源池说明 分布式融合数据库HTAP支持以下资源池：华东1。 产品功能概览 功能模块 产品功能 功能支持情况 实例计费模式 按需计费 支持 实例计费模式 包周期 支持 实例管理 启动实例 支持 实例管理 停止实例 支持 实例管理 扩容实例 支持 实例管理 退订实例 支持 实例管理 续订实例 支持 实例管理 查看实例详情 支持 实例管理 查看实例参数 支持 实例管理 主子帐号及IAM授权管理 支持 实例访问 VPC内网访问 支持 数据库用户管理 创建用户 支持 数据库用户管理 修改用户权限 支持 数据库用户管理 查看用户 支持 数据库用户管理 删除用户 支持 资源组管理 创建资源组 支持 资源组管理 修改资源组 支持 资源组管理 删除资源组 支持 资源组管理 查看资源组 支持 资源组管理 用户绑定资源组 支持 资源组管理 监控资源用量 支持 资源组管理 估算资源总量 支持 备份管理 备份配置 支持 备份管理 自动全量备份 支持 备份管理 手动全量备份 支持 备份管理 增量备份 支持 备份管理 全量恢复 支持 备份管理 增量恢复 支持 备份管理 查看备份记录 支持 备份管理 查看恢复记录 支持 监控视图 监控概览 支持 监控视图 实例监控 支持 监控视图 计算节点监控 支持 监控视图 组件日志监控 支持 告警服务 查看历史告警 支持 告警服务 配置实例告警模板 支持 告警服务 加载实例告警配置 支持 告警服务 查看告警模板 支持 告警服务 克隆告警模板 支持 告警服务 新增告警模板 支持 告警服务 修改告警模板 支持 告警服务 禁用告警模板 支持 告警服务 删除告警模板 支持 告警服务 查看告警规则 支持 告警服务 新增告警规则 支持 告警服务 修改告警规则 支持 告警服务 禁用告警规则 支持 告警服务 删除告警规则 支持 告警服务 查看告警联系人 支持 告警服务 新增告警联系人 支持 告警服务 修改告警联系人 支持 告警服务 删除告警联系人 支持 参数模板 查看参数模板 支持 参数模板 创建参数模板 支持 参数模板 比较参数模板 支持 参数模板 复制参数模板 支持 参数模板 应用参数模板 支持 参数模板 删除参数模板 支持 参数模板 查看参数模板应用历史 支持 参数模板 修改参数模板描述 支持 参数模板 查看参数模板详情 支持 参数模板 修改自定义参数模板参数 支持 审计管理 查看审计日志 支持 审计管理 导出审计日志 支持 审计管理 查看审计策略 支持 审计管理 修改审计策略 支持 审计管理 新增审计策略 支持 审计管理 查看审计规则 支持 审计管理 修改审计规则 支持 审计管理 删除审计规则 支持 操作日志 查看操作日志 支持

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与RDSPostgreSQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDSPostgreSQL的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDSPostgreSQL实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与RDSPostgreSQL实例。 直接使用公网访问，灵活性好。但安全性不如内网连接。 推荐使用内网连接。 DMS连接 开箱即用，无需安装本地客户端，通过浏览器即可操作数据库，数据管理服务DMS提供的可视化管理功能，使得数据库管理变得更加简单和高效，降低用户的学习成本和操作难度。 操作便捷，无需其他服务器或软件即可随时随地连接实例。

介绍分布式消息服务RabbitMQ创建虚拟主机操作内容。 背景信息 虚拟主机，用作逻辑隔离，分别管理各自的交换器、队列和绑定，使得应用安全地运行在不同的虚拟主机上，相互之间不会干扰。一个实例下可以有多个虚拟主机，一个虚拟主机里面可以有若干个交换器和队列。生产者和消费者连接分布式消息服务 RabbitMQ 版需要指定一个虚拟主机。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“虚拟主机”到达虚拟主机管理页面，点击“新建”按钮。 （5）点击“新建”后出现以下创建，输入虚拟主机名称后点击确定。 注意：设置虚拟主机名称时，有如下要求： 虚拟主机名称只能包含字母、数字、短划线（）、下划线（）。 虚拟主机名称长度限制在1~64个字符。 虚拟主机创建成功后，Vhost名称不可修改。

策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

介绍Logstash对接Kafka具体内容。 应用场景 通过Logstash对接Kafka，可以实现以下功能： 1. 数据收集：Logstash可以从Kafka主题中消费数据，将数据从Kafka集群中获取到Logstash中进行处理和转发。这样可以方便地将分布式系统、应用程序、传感器数据等各种数据源的数据集中收集起来。 2. 数据处理和转换：Logstash提供了丰富的过滤器插件，可以对从Kafka中消费的数据进行各种处理和转换操作。例如，可以进行数据清洗、解析、分割、合并、字段映射等操作，以满足不同数据源和目标的数据格式要求。 3. 数据传输和转发：Logstash可以将处理后的数据发送到不同的目标位置，如Elasticsearch、MySQL、文件系统、消息队列等。通过配置适当的输出插件，可以将数据传输到目标系统，以便后续的数据分析、存储、可视化等操作。 4. 实时数据处理：Logstash与Kafka结合使用，可以实现实时的数据处理和传输。Kafka作为高吞吐量的消息队列，可以确保数据的高效传输和缓冲。而Logstash作为数据处理引擎，可以对从Kafka中消费的数据进行实时处理，满足实时数据分析和监控的需求。 5. 分布式部署和负载均衡：Logstash支持分布式部署，可以通过配置多个Logstash节点来实现高可用性和负载均衡。多个Logstash节点可以同时从Kafka主题中消费数据，并进行并行处理和转发，以提高整体系统的性能和吞吐量。 总之，通过Logstash对接Kafka，可以实现灵活、可扩展和高效的数据处理和传输。Logstash提供了丰富的插件和配置选项，可以根据实际需求进行定制化的数据处理流程。同时，Logstash还具有良好的可扩展性和可靠性，适用于各种规模和类型的数据处理场景。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

本文将为您介绍云专线适用的主要应用场景。 场景一：异地容灾高可用、可扩展的大型网络架构 场景说明 企业用户的业务对网络高可用性、稳定性、可扩展性有极高要求，建议使用多链路聚合口、多接入点的网络架构方案，减少当物理电路因光纤损坏、设备功能故障或接入点中断等故障导致的连通性中断风险，并提供入云业务带宽的弹性扩容能力。 产品优势 通过异地容灾接入能力，提供网络架构的高可用方案； 通过多链路聚合口能力，实现接入点带宽的弹性扩容，保证大带宽接入能力。 搭配使用 云企业路由器、虚拟私有云。 场景二：异地容灾高可用的中、大型网络架构 场景说明 企业用户的业务对网络高可用性、稳定性有极高要求，建议使用多接入点的网络架构方案，减少当物理电路因光纤损坏、设备功能故障或接入点中断等故障导致的连通性中断风险。 产品优势 通过异地容灾接入能力，提供网络架构的高可用方案。 搭配使用 云企业路由器、虚拟私有云。 场景三：非核心业务的中、小型网络架构

指标总览提供了指标列表的聚合视图，支持在不同的时间范围内，从来源、付费类型、指标类型等不同维度查看指标的上报量、上报量占比等数据。 功能入口 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，单击指标总览页面。 指标筛选 您可以在左侧快捷筛选区域从来源、付费类型等维度筛选指标。 来源对应接入中心的不同监控组件。 付费类型区分基础指标和自定义指标。 您也可以在页面顶部的文本框中直接输入指标名称进行指筛选标，支持自动联想和输入多个指标。 指标列表 指标列表展示了指标名称、来源、付费类型、上报量占比、上报量、描述等信息。 单击上报量列的图标，可以查看指标在不同时间段的上报量变化趋势。 单击操作列的详情，可以查看当前指标的元数据、详细的上报量、时间线数量等内容。

本文介绍IPv6外链改造功能。 功能介绍 提供网站外链改造能力，通过代理访问外链源站，在边缘云节点进行外链地址改写，为您解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 注意 目前控制台尚未开放IPv6外链改造功能，如有防护需求请通过 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 开通Web应用防火墙（边缘云版）基础版以及以上套餐版本。 配置项说明 配置项 说明 IPv6外链改造开关 支持开启或关闭IPv6外链改造功能 外链改造层数 支持配置0~5层，默认配置0，代表无限改写链接层数 网站首页IPv6标识 支持开启或关闭网站首页IPv6标识 IPv6标识内容 即网站首页提示的IPv6标识信息，默认展示“您正在使用IPv6协议访问本网站” IPv6标识显示时长 标识显示时长，默认显示10s IPv6外链改造例外 若网站中有部分url是您不希望进行外链改造的，可配置例外