本章节主要介绍准备工作 为集群开通Istio之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

分类和映射 分类和映射是指对云服务告警进行类型匹配和字段映射。 安全编排 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能通过可编程接口（API）封装后形成的安全能力（即应用）和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。 安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。 剧本 剧本（Playbook）是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 流程 流程（Workflow）是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。

迁移时长 因迁移速度受网络带宽，磁盘IO，CPU和内存占用率，文件大小、数量等因素影响，主机迁移服务无法准确的评估出迁移时长，迁移任务中“剩余迁移时间预测”仅供参考。 建议30天内完成数据迁移和业务割接。 由于增量同步受源端文件数目，有效簇连续性以及源端增量数据大小等多方面因素影响，因此主机迁移服务无法评估和保障同步时长。 迁移过程操作须知 迁移过程中，禁止对目的端服务器的系统、磁盘进行操作，包括但不限于切换操作系统、重装系统等。 迁移过程中，会对目的端服务器的磁盘进行格式化并重新分区，请迁移前做好数据备份以及确认目的端服务器磁盘可被格式化。 迁移过程中，Windows迁移和Linux块级迁移禁止重启SMSAgent。 迁移过程中，Linux文件级迁移重启SMSAgent支持断点续传，但仍然有出现异常的风险，非必要，建议不要重启SMSAgent。 如果迁移过程中出现报错，请及时收集迁移日志，以供技术人员定位问题。 迁移后须知 主机迁移服务属于系统迁移，可以保证迁移前后数据一致性，但无法确保迁移后业务能正常运行。应用能否成功部署，需要用户根据实际情况进行调整，SMS只负责数据迁移，不负责用户的业务调整。 主机迁移服务暂时不提供数据一致性校验工具，如果需要对数据进行校验，请自行选择第三方工具进行校验。

本文介绍实时云渲染产品购买类常见问题。 云渲染服务已购买的渲染资源可以变更吗？ 云渲染服务支持包年包月用户增加已有渲染实例的开通路数与新增渲染规格，云渲染固定带宽也可按需更改带宽值，您可根据实际需要灵活选择购买方案。 包年包月订购云渲染规格如何退订？ 您登陆天翼云控制台，勾选需要退订的云渲染规格，选择”更多退订“，在页面中点击确认，将完成退订订单提交，弹出提示信息，并可在用户中心的订单管理页面看到该退订订单，此时订单状态为“待审核”。 待审核通过后，天翼云将回收资源，并返还现金支付的金额。此时，订单状态将变为“工单完成”，在云渲染列表里也无法看见该渲染规格。 退订云渲染服务前有哪些限制条件？ 如果您需要退订云渲染服务，需要符合天翼云7天无理由退款条件。 1.订购时间超过7天，以及订购7天内但执行过升级、续订操作的云渲染实例均不能执行退订操作。 2.由于退订操作会导致资源回收和清理，平台上的应用数据将无法恢复，因此，在退订前请您做好数据备份工作。 云渲染服务如何选择渲染带宽？ 云渲染服务支持固定带宽和按需计费两种带宽计费方式，由于所有渲染规格共享一个带宽，若选择固定带宽，带宽值推荐选择系统推荐值。

参数 描述 性能类型 云数据库ClickHouse支持不同规格CPU，以满足不同性能需求，您可根据需要选择所需的CPU规格。 目前支持的实例规格CPU架构均为X86架构，分为：通用型、计算增强型和内存优化型。具体的机器类型因您所选的区域而异。 节点规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 计算节点数量 单副本：节点总数的范围为148，节点总数增加步长为1。 双副本单可用区：双副本的节点总数的范围为248，节点总数增加步长为2。 双副本多可用区：双副本的节点总数的范围为648，节点总数增加步长为6。 节点存储类型 数据库是应用系统最为重要基础组件，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。云数据库ClickHouse暂时不支持创建实例后变更存储类型。 节点存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。计算节点存储空间支持100GB到32000GB，协调节点存储空间支持100GB到1000GB。 用户选择容量大小必须为10的整数倍。数据库创建成功后可进行扩容。

参数 描述 性能类型 云数据库ClickHouse支持不同规格CPU，以满足不同性能需求，您可根据需要选择所需的CPU规格。 目前支持的实例规格CPU架构均为X86架构，分为：通用型、计算增强型。具体的机器类型因您所选的区域而异。 节点规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 计算节点数量 单副本：节点总数的范围为248，节点总数增加步长为1。 双副本单可用区：双副本的节点总数的范围为248，节点总数增加步长为2。 双副本多可用区：双副本的节点总数的范围为648，节点总数增加步长为6。 节点存储类型 数据库是应用系统最为重要基础组件，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。云数据库ClickHouse暂时不支持创建实例后变更存储类型。 节点存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。计算节点存储空间支持100GB到32000GB，协调节点存储空间支持100GB到1000GB。 用户选择容量大小必须为10的整数倍。数据库创建成功后可进行扩容。

本章节主要介绍使用Hive加载HDFS数据并分析图书评分的实践。 MRS离线处理集群，可对海量数据进行分析和处理，形成结果数据，供下一步数据应用使用。 离线处理对处理时间要求不高，但是所处理数据量较大，占用计算存储资源较多，通常通过Hive/SparkSQL引擎或者MapReduce/Spark2x实现。 本实践基于天翼云翼MapReduce服务，用于指导您创建MRS集群后，使用Hive对原始数据进行导入、分析等操作，展示了如何构建弹性、低成本的离线大数据分析。 基本内容如下所示： 1. 创建MRS离线查询集群。 2. 将本地数据导入到HDFS中。 3. 创建Hive表。 4. 将原始数据导入Hive并进行分析。 场景描述 Hive是建立在Hadoop上的数据仓库框架，提供大数据平台批处理计算能力，能够对结构化/半结构化数据进行批量分析汇总完成数据计算。提供类似SQL的Hive Query Language语言操作结构化数据，其基本原理是将HQL语言自动转换成MapReduce任务，从而完成对Hadoop集群中存储的海量数据进行查询和分析。 Hive主要特点如下： 海量结构化数据分析汇总。 将复杂的MapReduce编写任务简化为SQL语句。 灵活的数据存储格式，支持JSON，CSV，TEXTFILE，RCFILE，SEQUENCEFILE，ORC（Optimized Row Columnar）这几种存储格式。 本实践以某图书网站后台用户的点评数据为原始数据，导入Hive表后通过SQL命令筛选出最受欢迎的畅销图书。

本文简述批量域名IP封禁的详细操作步骤。 功能介绍 如果客户有多个域名，且希望能批量对这些域名封禁用户IP，则可通过批量域名IP封禁实现。IP黑/白名单和批量域名IP封禁应用的场景如下： IP黑/白名单：支持对单个域名配置IP黑名单和IP白名单，配置只对该域名生效且配置后永久生效。 批量域名IP封禁：支持一次对多个域名批量配置，仅支持配置黑名单，同时支持永久生效和配置封禁时长。配置封禁时长时最长设置为7天。 注意事项 批量域名IP封禁功能默认不开放自助，如有需要，需提交工单联系天翼云客服配置自助操作权限。 对推流和拉流域名生效。 该功能为可选项，默认不启用。 批量IP封禁支持针对IP永久封禁；同时也支持配置封禁时长，封禁时长最长设置为7天。 批量域名IP封禁优先级高于域名管理中的IP黑/白名单配置。 操作步骤 批量创建封禁IP 1. 登录直播控制台。 2. 单击【功能配置】下方的【批量域名IP封禁】，进入【批量域名IP封禁】页面。 3. 单击页面右上方的【创建封禁任务】，如下图。 4. 选择【域名】，在【IP封禁列表】中配置需要封禁的用户IP，并设置【IP封禁时长】。 5. 单击【确定】。

本节主要介绍NAT的产品优势。 公网NAT网关优势 灵活部署 支持跨子网部署和跨可用区域部署。公网NAT网关支持跨可用区部署，可用性高，单个可用区的任何故障都不会影响公网NAT网关的业务连续性。 多样易用 多种网关规格可灵活选择。对公网NAT网关进行简单配置后，即可使用，运维简单，快速发放，即开即用，运行稳定可靠。 降低成本 多个云主机共享使用弹性IP。当您的私有IP地址通过公网NAT网关发送数据，或您的应用面向互联网提供服务时，公网NAT网关服务将私有地址和公网地址进行转换。用户无需为云主机访问Internet购买多余的弹性IP和带宽资源，多个云主机共享使用弹性IP，有效降低成本。 私网NAT网关优势 简规划 大企业不同部门间存在大量重叠网段，上云后无法互通，需要在上云前进行企业网络的重新规划。云平台的私网NAT网关服务，支持重叠网段通信，客户可保留原有组网上云、无需重新规划，极大简化了IDC上云的网络规划。 易运维管理 因为组织层级、分权分域、安全隔离等因素，大型企业内不同归属的部门存在分级组网，需要映射至大网才能彼此通信。私网NAT支持私网的IP地址映射，各部门的网段可映射至统一的VPC大网地址进行统一管理，让复杂组网的管理更加简易。

参数 描述 区域 资源所在的区域。 说明 不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 数据库引擎 PostgreSQL。 数据库版本 请参见 实例类型+可用区 主备：一主一备的经典高可用架构。适用于大中型企业的生产数据库，覆盖互联网、物联网、零售电商、物流、游戏等行业应用。备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 RDS支持在同一个可用区内或者跨可用区部署数据库主备实例，以提供故障切换能力和高可用性。 单机：采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。适用于个人学习、微型网站以及中小企业的开发测试环境。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。

当通知策略的匹配条件被触发时，系统可向您指定的联系人发送通知信息。联系人可通过电话、短信及邮件等多种渠道接收相关告警通知。 创建联系人 1. 登录控【应用性能监控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 在联系人 页签单击新建联系人。 3. 在新建联系人 对话框中根据实际需求设置以下参数，然后单击确认。 参数 说明 姓名 自定义联系人姓名。 手机号 设置联系人的手机号码后，可以通过电话和短信的方式接收告警通知。 说明 仅验证过的手机号码可以在通知策略中使用电话的通知方式，验证手机号的操作，请参见【验证手机号】。 邮箱 设置联系人的邮箱地址后，可以通过邮箱接收告警通知。 联系人组 选择联系人需要加入的联系人组。创建联系人组的操作，请参见【联系人组】。 注意 手机号码和邮箱至少填写一项，每个手机号码或邮箱只能用于一个联系人。 验证手机号 仅验证过的手机号可以在通知策略中使用电话的通知方式。 1. 在联系人 页签上，单击未验证手机号右侧的待验证。 2. 在弹出的界面中，点击发送验证码，系统将会给手机号发送验证短信。 3. 输入短信验证码，点击确定，即可完成手机号验证。 管理联系人 创建联系人后，您可以在联系人页签查询、编辑或删除联系人： 编辑联系人：单击目标联系人右侧操作 列中的编辑 ，在弹出的对话框中修改联系人信息，然后单击确认。 删除单个联系人：单击目标联系人右侧操作 列中的删除 ，然后在弹出的对话框中单击确认。 删除多个联系人：选择目标联系人，单击批量删除 ，然后在提示对话框中单击确认。

本文介绍产品中的对象存储，已删除的数据是否可以恢复。 天翼云媒体存储无法恢复您主动删除、覆盖、配置规则自动删除或服务协议到期自动删除的数据，请您谨慎操作。 可能导致数据被删除或覆盖的场景： 通过控制台、API、SDK、XstorBrowser方式删除对象。详情请参见删除对象。 通过控制台、API、SDK、XstorBrowser方式上传同名文件到媒体存储，会导致桶内已有文件被覆盖。 若您在生命周期规则中配置了定期删除文件的规则，会根据生命周期的配置定期删除符合条件的文件。详情请参见生命周期。 若您配置了跨区域复制规则，且选择的是增/删/改同步，则对源存储空间（桶）进行文件修改或删除操作时，操作会同步到目标Bucket。详情请参见存储桶复制。 没有正确的配置桶的访问权限，导致文件被他人恶意删除或覆盖。访问权限相关说明请参见访问权限概述。 如果购买的存储资源到期后未及时续费，会为用户保留一段时间的数据。进入保留期后您在媒体存储中存储的数据会予以保留，对应资源会处于受限状态。保留期满仍未缴清欠款，存储在媒体存储中的数据将被销毁且无法恢复。详情请参见欠费说明。 您可通过以下方式防止误删除或误覆盖： 权限控制：正确使用媒体存储 提供的访问控制能力防止数据被删除或覆盖。详情请参见数据安全应用场景。 开启多版本控制：利用多版本控制，您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。详情请参见版本控制。 跨区域复制到异地备份：您可以使用跨区域复制功能将数据复制到其他区域资源池进行备份。详情请参见存储桶复制。 WORM保护对象：您可以通过WORM功能保护对象，在保护期内阻止删除或覆盖对象。详情请参见合规保留。

存储卷挂载 容器存储数据卷挂载方式包括：静态存储卷和动态存储卷。 静态存储卷 静态存储卷是由集群管理员预先创建的 PV（PersistentVolume）。管理员根据集群存储需求，提前分配存储介质（如云盘、文件系统等）并创建对应的 PV 对象。这些 PV 处于可用状态，等待 PVC（PersistentVolumeClaim）绑定使用。 应用程序通过定义 PVC 申请存储资源时，Kubernetes 会根据 PVC 的需求和匹配规则自动将其与合适的 PV 绑定（或在创建 PVC 时直接指定 PV 名称）。应用程序即可通过 PVC 访问预分配的静态存储卷，获得持久化存储能力。 动态存储卷 Kubernetes 通过存储类（StorageClass）和存储插件提供动态存储卷功能。管理员基于可用存储资源和策略创建存储类模板，开发者在部署应用时通过 PVC 申请存储资源。存储插件根据存储类定义与后端存储池交互，动态创建符合需求的 PV 并绑定到 PVC。 动态存储卷的优势： PV的自动化生命周期管理：通过 Provisioner 自动完成 PV 的创建和删除。 简化运维：通过自动创建PV，减少手动配置复杂度和管理员工作量。 容量优化：动态创建的 PV 容量与 PVC 需求精确匹配，实现存储容量规划最优。 子路径挂载支持 ：通过 volumeMounts.subPath 属性可挂载卷内的特定子路径，而非根目录。 存储类（StorageClass ）说明如下： 字段 说明 存储驱动（provisioner） 用来决定使用哪个卷插件制备 PV 回收策略(reclaimPolicy) 由 StorageClass 动态创建的 PV会在类的 reclaimPolicy 字段中指定回收策略，可以是 Delete 或者 Retain。如果 StorageClass 对象被创建时没有指定 reclaimPolicy，默认为 Delete。 通过 StorageClass 手动创建并管理的 PV会使用它们被创建时指定的回收策略。 绑定模式（volumeBindingMode） 该控制了卷绑定和动态供应应该发生在什么阶段。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PersistentVolume 的绑定和制备，直到使用该 PersistentVolumeClaim 的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 说明 volumeBindingMode配置为WaitForFirstConsumer，可以解决以下可能情况： 1、创建了A可用区的数据卷，但是A可用区的节点资源已经耗光，导致Pod启动无法完成挂载。 2、集群管理员在规划PVC、PV的时候不能确定在哪些可用区创建多个PV来备用。 卷扩展 当StorageClass 的 allowVolumeExpansion 字段设置为 true ，表示动态创建的PV可以配置为可扩展，即允许用户通过编辑相应的 PVC 对象来调整卷大小。 挂载选项 由 StorageClass 动态创建的 PV 将使用类中 mountOptions 字段指定的挂载选项。 Kubernetes 不对挂载选项执行合法性检查。如果挂载选项是非法的，挂载就会失败。 说明 并非所有持久卷类型都支持挂载选项。

创建同步任务 1、进入同步任务配置页面 登录边缘安全加速，支持在AOne零信任工作台进行操作 在左侧导航栏身份第三方组织，选择同步身份源菜单 点击添加同步任务，选择AD类型 2、配置AD同步任务连接参数 输入AD连接参数相关配置，可点击连接测试初步检测配置数据是否正确。 序号 参数 说明 1 服务器地址 分成3部分：协议，服务器地址，端口号例如：ldaps://43.139.222.166:389 见上方【前置准备】【AD域相关配置参数准备】中的协议，服务器地址，端口号 2 管理员账户 见上方【前置准备】【AD域相关配置参数准备】中的管理员账号 3 管理员密码 见上方【前置准备】【AD域相关配置参数准备】中的管理员密码 4 内网访问 若企业AD域服务器部署在公网环境，则不勾选。若企业AD域服务器部署在公司内网环境，则勾选 5 连接器集群 仅内网访问时需要配置。请确保连接器集群到AD服务器地址网络可达 6 BaseDN 见上方【前置准备】【AD域相关配置参数准备】中的BaseDN 7 机构同步配置 用于控制AD域中OU（组织单元）同步至AOne平台组织的范围。支持通过过滤条件精准筛选需同步的OU，配置逻辑如下： 1）启用OU过滤： 关闭：不进行过滤，同步BaseDN参数限定范围内的所有OU及其子OU 开启：仅同步符合过滤条件的OU及其子OU 2）OU过滤条件：仅当“启用OU过滤”选框开启时展示，对应需同步的机构过滤条件，需输入符合LDAP语法的过滤表达式，示例如下： 示例1：((sAMAccountNameOU1)(sAMAccountNameOU2)) 表示仅同步组织单元为OU1和OU2的OU及其子OU 示例2：(objectClassorganizationalUnit)，表示同步所有类型为organizationalUnit的OU及其子OU 8 用户同步配置 用于控制AD域中User（用户）同步至AOne平台用户的范围，支持通过过滤条件筛选需同步的User，配置逻辑如下： 1）启用User过滤： 关闭：不进行过滤，同步机构同步范围内的全量User 开启：仅同步符合过滤条件的User 2）User过滤条件：仅当“启用User过滤”选框开启时展示，对应需同步的用户过滤条件，需输入符合LDAP语法的过滤表达式，示例如下： 示例1：(objectClassperson) 表示仅同步AD域中类型为person的User 示例2：((objectClassPerson)(objectClassuser)) 表示同步类型为Person或user的User 示例3：(sAMAccountNameoec) 表示同步登录名以oec开头的User 9 用户组同步配置 用户组同步配置用于控制AD域中Group（用户组）同步至AOne平台用户组的范围，配置逻辑如下： 1）启用用户组同步：是用户组同步的基础控制开关 关闭：不同步任何AD域中的Group信息 开启：将AD域中的Group信息同步至AOne平台用户组，同时同步用户组与成员的关联关系 2）启用Group过滤：仅当“启用用户组同步”选框开启时展示 关闭：不进行过滤，同步当前机构同步范围内的全量Group及其成员关系 开启：仅同步符合过滤条件的Group及其成员关系 3）Group过滤条件：仅当“启用Group过滤”选框开启时展示，对应用户组过滤条件，需输入符合LDAP语法的过滤表达式，示例如下： 示例1：((sAMAccountNameGroup1)(sAMAccountNameGroup2)) 表示仅同步Group1和Group2两个用户组，以及两个用户组与成员的关联关系 示例2：(&(objectClassgroup)(memberofCNGraylogAdmins,CNUsers,DCcompany,DClocal)) 表示同步隶属于指定父组的用户组及其成员关系 10 用户映射规则 支持自定义配置AOne中用户字段和AD字段的映射关系，目前支持账号，姓名，手机号，邮箱字段的配置 见上方【前置准备】【AD域相关配置参数准备】中的用户映射规则中对应AD字段 11 机构映射规则 支持自定义配置零信任中机构字段和AD字段的映射关系，目前支持机构名称字段的配置 见上方【前置准备】【AD域相关配置参数准备】中的机构映射规则中对应AD字段

当通知策略的匹配条件被触发时，系统可向您指定的联系人发送通知信息。联系人可通过电话、短信及邮件等多种渠道接收相关告警通知。 创建联系人 1. 登录控【应用性能监控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 在联系人 页签单击新建联系人。 3. 在新建联系人 对话框中根据实际需求设置以下参数，然后单击确认。 参数 说明 姓名 自定义联系人姓名。 手机号 设置联系人的手机号码后，可以通过电话和短信的方式接收告警通知。 说明 仅验证过的手机号码可以在通知策略中使用电话的通知方式，验证手机号的操作，请参见【验证手机号】。 邮箱 设置联系人的邮箱地址后，可以通过邮箱接收告警通知。 联系人组 选择联系人需要加入的联系人组。创建联系人组的操作，请参见【联系人组】。 注意 手机号码和邮箱至少填写一项，每个手机号码或邮箱只能用于一个联系人。 验证手机号 仅验证过的手机号可以在通知策略中使用电话的通知方式。 1. 在联系人 页签上，单击未验证手机号右侧的待验证。 2. 在弹出的界面中，点击发送验证码，系统将会给手机号发送验证短信。 3. 输入短信验证码，点击确定，即可完成手机号验证。 管理联系人 创建联系人后，您可以在联系人页签查询、编辑或删除联系人： 编辑联系人：单击目标联系人右侧操作 列中的编辑 ，在弹出的对话框中修改联系人信息，然后单击确认。 删除单个联系人：单击目标联系人右侧操作 列中的删除 ，然后在弹出的对话框中单击确认。 删除多个联系人：选择目标联系人，单击批量删除 ，然后在提示对话框中单击确认。

在同一区域中，VPC终端节点可以建立终端节点（VPC内云资源）到终端节点服务（用户私有服务、云服务）的便捷、安全、私密连接通道。 基于上述功能，VPC终端节点主要应用于以下场景。 高速上云 本地数据中心可以通过VPN或者云专线连通VPC，利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 如上图所示，本地数据中心通过VPN或者云专线与VPC 1连通，实现： 利用终端节点1，通过内网访问云服务（如OBS、DNS等）。 利用终端节点2，访问VPC 1的云资源（如ECS 1）。 利用终端节点3，跨VPC访问VPC 2的云资源（如ECS 2）。 这种场景具有以下优势： 简单快速 本地数据中心直连终端节点服务，无需经过公网，访问时延小，效率高。 成本低廉 本地数据中心访问云上资源不占用用户的公网资源，降低使用成本。 跨VPC连接 在同一区域中，由于VPC之间逻辑隔离，不同VPC内的云资源不能直接通信。利用在不同VPC间建立的终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 如上图所示，利用终端节点与终端节点服务建立的跨VPC连接通道，实现VPC 1中的云资源（如ECS）通过内网访问VPC 2中的云资源（如ELB）。 这种场景具有以下优势： 性能高效 每个网关节点可支持百万级会话。 简化操作 资源秒级创建，快速生效，操作简单。 具体示例请参考： 配置跨VPC通信的终端节点（同一帐号） 配置跨VPC通信的终端节点（不同帐号）

通过在天翼云Prometheus监控服务中开启默认服务发现功能，您可以采集云容器引擎中符合Prometheus默认采集规则的监控指标，以进行集群运维和性能分析。 使用限制 仅支持容器环境实例。 相关费用 使用默认服务发现将产生自定义指标相关费用。更多信息，请参见计费说明。 前提条件 已创建容器环境实例，即容器集群。 已通过接入中心接入集群。详情请查看容器可观测接入。 注意 1. 如果集群不是从接入中心接入Prometheus，默认服务发现功能会开启失败。 2. 容器集群中需要暴露监控指标的Pod需要配置符合Prometheus默认采集规则的Annotations。 操作指南 步骤一：开启默认服务发现 1. 登录云容器引擎管理控制台。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择工作负载 > 容器组。 3. 点击目标Pod操作列的编辑，新增以下Annotations注解。 annotations: prometheus.io/path: /metrics 指标暴露的HTTP Path。 prometheus.io/port: "xxxx" 指标暴露端口。 prometheus.io/scrape: "true" 是否抓取当前Pod的指标。 4. 点击更新。 步骤二：开启默认服务发现 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，点击接入管理。 3. 在已接入环境页签，查看容器环境列表，点击目标容器环境操作列的指标采集按钮，进入指标采集页面。 4. 在指标采集页签，点击默认服务发现，进入默认服务发现的配置页面。 5. 在默认服务发现页面，点击功能启用按钮，开启默认服务发现能力。后续在指标采集页签中，即可查看当前扫描的符合默认服务发现的所有Pod列表。

本小节介绍日志审计(原生版)应用场景,主要是响应合规性要求、日志审计监管、日志关联分析等场景。 场景一：响应合规场景 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 产品优势能力 产品具备海量日志存储能力，并可以长时间地保存大量日志信息，同时采用了多种技术手段，实现高效地日志数据处理和存储，降低性能负担，确保用户在实现合规性的同时，仍能维持系统的服务水平。 通过深度分析安全设备的日志信息，可以及时检测潜在的安全威胁，并结合溯源分析追踪攻击者的行为路径和攻击手法，更好地了解攻击者的意图和方法，帮助快速发现并阻止潜在的攻击，减少安全事件造成的损失。 场景二：运维分析场景 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程运维监控，以及扩展对关键数据等资产的保护。 产品优势能力 提供实时流的日志分析监控，通过邮件方式及时通知用户，提高运维的响应及时率。 仪表盘灵活查看不同设备的整体运行情况，通过定时任务，统计一天到一周、月、季度的业务数据运维情况。 借助统计报表掌握业务趋势，通过接口调用统计为扩容、性能问题排查提供参考信息。 场景三：审计分析场景 基于大数据架构的日志审计系统，针对各类系统的日志进行集中采集、管理、存储、统计，分析的系统，实现高效统一管理资产日志并提供实时检索，可视化交互分析，聚合分析，实时告警，报表等功能。

本节介绍如何开启告警通知。 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 前提条件 已开通消息通知服务。 约束条件 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 5. 单击“添加通知”，配置告警通知参数。 参数 参数说明 通知类型 选择告警通知的类型： 防护事件：WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 通知名称 自定义该条告警的名称。 通知描述 可选参数，备注该条告警的用途。 企业项目 在下拉框中选择企业项目，该通知在选择的企业项目下生效。 通知群组 单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题，用于配置接收告警通知的终端。 告警频率 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以单击“自定义”，勾选需要告警的事件类型。 6. 配置完成后，单击“确认”，告警通知设置成功。 如果需要关闭该告警通知，在目标告警所在行的的“操作”列，单击“关闭”。 如果需要删除该告警通知，在目标告警所在行的的“操作”列，单击“删除”。 如果需要修改该告警通知，在目标告警所在行的的“操作”列，单击“修改”。

本章主要介绍为简易认证添加AppCode。 操作场景 简易认证指调用API时，在HTTP请求头部消息增加一个参数XApigAppCode（参数值填凭据详情中“AppCode”的值），而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 当使用APP认证，且开启了简易认证模式，API请求既可以选择使用Key和Secret做签名和校验，也可以选择使用AppCode进行简易认证。 说明 为了确保安全，简易认证仅支持HTTPS方式调用API，不支持HTTP。 每个应用最多可创建5个AppCode。 前提条件 已创建凭据。 生成AppCode 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > 凭据管理”。 步骤 4 单击 凭据名称 ，进入凭据详情页面。 步骤 5 在“AppCodes”区域，单击“添加AppCode”。 步骤 6 在弹窗中配置AppCode，可自动生成，也可手动输入，完成后单击“确定”，生成AppCode。 表 配置AppCode 信息项 描述 生成方式 选择AppCode的生成方式。 自动生成：由系统随机生成AppCode。 手动输入：自定义AppCode。 AppCode 仅手动输入方式需要填写AppCode的值。 使用AppCode进行API请求的简易认证 步骤 1 在创建API时，选择“APP认证”并且开启“支持简易认证”。 说明 如果您修改已有API为简易认证，需要在修改完成后，将API重新发布，使简易认证模式生效。 步骤 2 将支持简易认证的API绑定到已创建的凭据。 步骤 3 发送请求时，增加请求头部参数“XApigAppCode”，省略请求签名相关信息。 以Curl方式为例，增加头部参数名称：XApigAppCode，参数值填已生成的AppCode。 curl X GET " H "contenttype: application/json" H "host: api.exampledemo.com" H "XApigAppCode: xhrJVJKABSOxc7dFZL4gSHEXkCMQC"

本节主要介绍NAT的应用场景。 公网NAT网关 使用SNAT访问公网 当VPC内的云主机需要访问公网，请求量大时，为了节省弹性IP资源并且避免云主机IP直接暴露在公网上，您可以使用公网NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则，一条SNAT规则可以配置多个弹性IP。公网NAT网关为您提供不同规格的连接数，根据业务规划，您可以通过创建多条SNAT规则，来实现共享弹性IP资源。 使用SNAT访问公网场景组网图如图所示。 图 使用SNAT访问公网 使用DNAT为云主机面向公网提供服务 当VPC内的云主机需要面向公网提供服务时，可以使用公网NAT网关的DNAT功能。 DNAT功能绑定弹性IP，有两种映射方式（IP映射、端口映射）。可通过端口映射方式，当用户以指定的协议和端口访问该弹性IP时，公网NAT网关会将该请求转发到目标云主机实例的指定端口上。也可通过IP映射方式，为云主机配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标云主机实例上。使多个云主机共享弹性IP和带宽，精确的控制带宽资源。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机中的任何一个。 图 使用DNAT为云主机面向公网提供服务

存储卷挂载 容器存储数据卷挂载方式包括：静态存储卷和动态存储卷。 静态存储卷 静态存储卷是由集群管理员预先创建的 PV（PersistentVolume）。管理员根据集群存储需求，提前分配存储介质（如云盘、文件系统等）并创建对应的 PV 对象。这些 PV 处于可用状态，等待 PVC（PersistentVolumeClaim）绑定使用。 应用程序通过定义 PVC 申请存储资源时，Kubernetes 会根据 PVC 的需求和匹配规则自动将其与合适的 PV 绑定（或在创建 PVC 时直接指定 PV 名称）。应用程序即可通过 PVC 访问预分配的静态存储卷，获得持久化存储能力。 动态存储卷 Kubernetes 通过存储类（StorageClass）和存储插件提供动态存储卷功能。管理员基于可用存储资源和策略创建存储类模板，开发者在部署应用时通过 PVC 申请存储资源。存储插件根据存储类定义与后端存储池交互，动态创建符合需求的 PV 并绑定到 PVC。 动态存储卷的优势： PV的自动化生命周期管理：通过 Provisioner 自动完成 PV 的创建和删除。 简化运维：通过自动创建PV，减少手动配置复杂度和管理员工作量。 容量优化：动态创建的 PV 容量与 PVC 需求精确匹配，实现存储容量规划最优。 子路径挂载支持 ：通过 volumeMounts.subPath 属性可挂载卷内的特定子路径，而非根目录。 存储类（StorageClass ）说明如下： 字段 说明 存储驱动（provisioner） 用来决定使用哪个卷插件制备 PV 回收策略(reclaimPolicy) 由 StorageClass 动态创建的 PV会在类的 reclaimPolicy 字段中指定回收策略，可以是 Delete 或者 Retain。如果 StorageClass 对象被创建时没有指定 reclaimPolicy，默认为 Delete。 通过 StorageClass 手动创建并管理的 PV会使用它们被创建时指定的回收策略。 绑定模式（volumeBindingMode） 该控制了卷绑定和动态供应应该发生在什么阶段。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PersistentVolume 的绑定和制备，直到使用该 PersistentVolumeClaim 的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 说明 volumeBindingMode配置为WaitForFirstConsumer，可以解决以下可能情况： 1、创建了A可用区的数据卷，但是A可用区的节点资源已经耗光，导致Pod启动无法完成挂载。 2、集群管理员在规划PVC、PV的时候不能确定在哪些可用区创建多个PV来备用。 卷扩展 当StorageClass 的 allowVolumeExpansion 字段设置为 true ，表示动态创建的PV可以配置为可扩展，即允许用户通过编辑相应的 PVC 对象来调整卷大小。 挂载选项 由 StorageClass 动态创建的 PV 将使用类中 mountOptions 字段指定的挂载选项。 Kubernetes 不对挂载选项执行合法性检查。如果挂载选项是非法的，挂载就会失败。 说明 并非所有持久卷类型都支持挂载选项。

参数 类型 用途 默认值/最大值 生效方式 sharedbuffers integer 设置数据库服务器将使用的共享内存缓冲区大小，这个值一般建议1/4物理内存大小。由于进程之间需要同步共享内存信息、且PG还会使用操作系统缓存，因此不宜太大。需要根据内存命中率的情况适当调整该参数 资源模板的1/4 restart tempbuffers integer 连接本地内存，仅用于访问临时表，并不是设置多大就分配多大，而是分配一个buffer指针，按需扩展到tempbuffers。 8MB userset workmem integer 连接本地内存，用于连接的一些排序、hash table等操作，如果workmem不够，则会申请临时磁盘空间。 4MB userset maintenanceworkmem integer 维护操作能申请的最大内存，例如：VACUUM, CREATE INDEX，提高会加速这些操作，包括pgrestore操作。注意autovacuumworkmem如果没有设置，则会使用这个设置，最多能申请autovacuummaxworkersautovacuumworkmem大小内存。因此建议在做维护操作的连接单独设置，并给autovacuum进程单独设置autovacuumworkmem。 64MB userset vacuumcostlimit integer 累积的cost消耗到这个值后，vacuum休眠vacuumcostdelay（默认为0，不休眠）时间。 PG为200，TDSQLPG默认为10000 restart autovacuumvacuumcostdelay floating point 当前所有autovacuum进程积累的cost消耗到autovacuumvacuumcostlimit后休眠的时间。 PG为2ms，TDSQLPG默认为20ms restart walcompression boolean full page image 在写入到WAL中进行压缩，目前是gzip压缩方式，压缩比能到30%。对wal日志比较大系统有提升，但会消耗CPU，一般在5%左右，不同CPU影响程度不一样。 off restart checkpointtimeout integer 两次自动checkpoint间隔时间，设置越大故障时间越长，但IO可能会更平滑，但不能一味设置很大，要看系统的IO、业务压力情况而定。 PG为5min，TDSQLPG默认为10min restart checkpointcompletiontarget floating point checkpoint完成目标，尽量让checkpoint在checkpointcompletiontarget checkpointtimeout时间内完成。 如果checkpoint时间太短，会让checkpoint进入急速模式，IO压力骤增。 PG为0.5min，TDSQLPG默认为0.93 restart randompagecost integer 随机扫描一个块的代价基准值，建议值：SATA/SAS盘： 4SSD：2Nvme SSD：1 PG为4，TDSQLPG默认为2 restart effectivecachesize integer 生成执行计划时，评估数据库能用的缓冲内存大小(sharedbuffers+操作系统的文件系统缓存)，不会实际占用。值越大更偏向于走索引扫描，一般可设置总内存 sharedbuffers 业务内存。 4GB restart logmindurationstatement integer 执行时间超过logmindurationstatement的SQL将记录到数据库运行日志中。 PG为1，TDSQLPG默认为10000 reload logstatement enum 设置数据库对那些类型SQL进行日志记录。推荐设置为DDL，加上logmindurationstatement针对慢SQL的设置即可。 PG为none，TDSQLPG默认为ddl reload autovacuumvacuumscalefactor integer 表中数据变化（inserted, updated or deleted tuples）超过表数据比例，之后才会触发autovacuum中的vacuum。 autovacuumanalyzescalefactor同理（PG为0.1，TDSQLPG默认为0.0001）。 PG为0.2，TDSQLPG默认为0.0002 库/表级参数，表级优先 reload fillfactor integer 表填充因子，数据块在插入多少比例数据之后不再插入，留下空间给update操作copy新行使用。在同一块中申请空间，将用到HOT update，对update性能提升很大。 默认为100 表级参数。更改参数需要重建表生效。

分布式缓存服务（Distributed Cache Service，简称DCS）是一款内存数据库服务，兼容Redis内存数据库引擎，为您提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力，满足用户高并发及数据快速访问的业务诉求。 即开即用 DCS提供单机、主备和集群三种类型的缓存实例，拥有从128MB到1024GB的丰富内存规格。您可以通过控制台直接创建，无需单独准备服务器资源。 其中Redis4.0/5.0/6.0版本采用容器化部署，秒级完成创建。 安全可靠 借助统一身份认证、虚拟私有云、云监控与云审计等安全管理服务，全方位保护实例数据的存储与访问。 灵活的容灾策略，主备/集群实例从单AZ（可用区）内部署，到支持跨AZ部署。 弹性伸缩 DCS提供对实例内存规格的在线扩容与缩容服务，帮助您实现基于实际业务量的成本控制，达到按需使用的目标。 便捷管理 可视化Web管理界面，在线完成实例重启、参数修改、数据备份恢复等操作。DCS还提供基于RESTful的管理API，方便您进一步实现实例自动化管理。 在线迁移 提供可视化Web界面迁移功能，支持备份文件导入和在线迁移两种方式，您可以通过控制台直接创建迁移任务，提高迁移效率。 DCS Redis Redis是一种支持KeyValue等多种数据结构的存储系统。可用于缓存、事件发布或订阅、高速队列等典型应用场景。Redis使用ANSI C语言编写，提供字符串（String）、哈希（Hash）、列表（List）、集合结构（Set、Sorted Set）、流（Stream）等数据类型的直接存取。数据读写基于内存，同时可持久化到磁盘。 DCS Redis拥有灵活的实例配置供您选择： DCS Redis灵活的实例配置 实例类型 提供单机、主备、Proxy集群、Cluster集群、读写分离类型，分别适配不同的业务场景。 单机：适用于应用对可靠性要求不高、仅需要缓存临时数据的业务场景。单机实例支持读写高并发，但不做持久化，实例重启后原有缓存数据不会加载。 主备：包含一个主节点，一个备节点，主备节点的数据通过实时复制保持一致，当主节点故障后，备节点自动升级为主节点。 Proxy集群：在Cluster集群的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，实现客户端高并发请求。每个Cluster集群分片是一个双副本的主备实例，当主节点故障后，同一分片中的备节点会升级为主节点来继续提供服务。 Cluster集群：通过分片化分区来增加缓存的容量和并发连接数，每个分片是一个主节点和0到多个备节点，分片本身对外不可见。分片中主节点故障后，同一分片中备节点会升级为主节点来继续提供服务。用户可通过读写分离技术，在主节点上写，从备节点读，从而提升缓存的整体读写能力。 读写分离：在主备实例的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，Proxy节点识别用户读写请求，将请求发送到主节点或备节点，从而实现读写分离。 :: 规格 Redis提供128MB~1024GB的多种规格。 兼容开源Redis版本 DCS提供不同的实例版本，分别兼容开源Redis的3.0、4.0、5.0、6.0。 底层架构 基于虚拟机的标准版 ，单节点QPS达10万/秒。 高可用与容灾 主备与集群实例提供Region内的跨可用区部署，实现实例内部节点间的电力、网络层面物理隔离。 有关开源Redis技术细节，您可以访问Redis官方网站

本文介绍如何操作恢复出厂设置相关内容。 概述 XClaw 设置功能提供了一系列系统管理选项，包括重启、自动修复、恢复出厂设置、打开终端和配置模型等。本文主要介绍如何使用【恢复出厂设置】功能来将 XClaw 服务恢复到初始状态。 功能项 说明 重启 重新启动 XClaw 服务 自动修复 自动诊断并修复常见问题 恢复出厂设置 将 XClaw 恢复到初始状态 打开终端 访问系统命令行终端 配置模型 设置 AI 模型参数 说明 • 恢复出厂设置会将所有配置重置为初始状态 • 恢复完成后需要重新配置 XClaw 服务 • 此操作不可逆，请谨慎使用 入口 登录应用托管控制台，进入【XClaw】菜单，点击界面右上角的【设置】按钮，即可打开设置侧边栏，然后选择【恢复出厂设置】选项。 操作步骤 1. 点击右上角的【设置】按钮，打开设置侧边栏，在设置列表中找到并点击【恢复出厂设置】选项。 2. 系统将弹出确认对话框，显示警告信息：恢复出厂设置会将 XClaw 恢复到初始状态，需要重新配置，恢复完成后系统将重启，预计 1～3 分钟。 3. 仔细阅读警告信息后，确认需要执行此操作，点击【确认恢复】按钮开始恢复出厂设置。 4. 等待系统完成恢复过程（约 1～3 分钟），恢复完成后，系统将自动重启，您需要重新配置 XClaw 服务。 注意： • 【重要警告】恢复出厂设置会清除所有用户配置和数据，将 XClaw 恢复到初始安装状态。 • 恢复完成后，所有自定义设置、历史记录都将丢失，需要重新配置，建议在执行恢复出厂设置前备份重要数据和配置。 • 此操作不可逆，一旦执行无法撤销， 恢复完成后系统会自动重启，重启后需要重新进行初始配置。 • 如果只是想解决临时问题，建议先尝试【自动修复】或【重启】功能。

本节介绍如何批量添加防护规则。 前提条件 已添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在页面左上角，单击“所有策略规则”。 步骤6 在待配置规则列表的左上角，单击“批量添加”，进入对应的规则配置页面。 步骤7 选择策略名称，在“策略名称”的下拉框中选择策略名，可批量多选，如图所示。 步骤8 完成除“策略名称”以外其它参数的配置。 “CC攻击防护”请参见配置CC攻击防护规则进行参数配置。 “精准访问防护”请参见配置精准访问防护规则进行参数配置。 “黑白名单设置”请参见配置IP黑白名单规则进行参数配置。 “地理位置访问控制”请参见配置地理位置访问控制规则进行参数配置。 “网页防篡改”请参见配置网页防篡改规则进行参数配置。 “防敏感信息泄露”请参见配置防敏感信息泄露规则进行参数配置。 “全局白名单”请参见配置全局白名单（原误报屏蔽）规则进行参数配置。 “隐私屏蔽”请参见配置隐私屏蔽规则进行参数配置。 步骤9 单击“确认”，批量添加防护规则成功。

本节介绍如何查看WAF独享型实例的详细信息。 您可以在产品信息页面查看已购买实例的详细信息，包括实例基本信息、实例节点的健康状态。 前提条件 已购买WAF独享型实例。 查看独享版实例详情 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理独享引擎”，单击目标实例操作列的“查看实例详情”。 5. 在实例详情页面，可以查看实例信息、接入端口，以及实例节点信息。 实例信息 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 修改实例名称： 1. 在实例详情页面，单击实例名称右侧的图标。 2. 修改实例名称后，单击“保存”，完成修改。 实例ID 实例的ID。 节点个数 当前实例的节点个数。 运行状态 当前实例的运行状态，包括正常、异常、离线。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 资源池 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 产品版本 实例的规格，单机版或集群版。 实例IPv4 单机版：显示单机节点本身内网IPv4地址。 集群版：显示集群VIP的IPv4地址。 单击“新增辅助网卡”，可以为实例新增网卡，详细操作请参见[新增辅助网卡](

本文为您介绍如何查看Web核心防护中包含的内置规则详情。 您可以在全局Web核心防护的防护规则页面，查询规则防护引擎中目前包含的所有防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组”页面，在页面上方选择“规则库”可以看到当前的规则引擎包含的规则列表。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。

项 目 约束和限制 多版本数据库数据传输 建议源库和目标库版本保持一致，或者从低版本传输至 高版本以保证兼容性，不支持高版本传输至低版本。 任务限制 请根据您的操作类型查阅对应章节下各类任务配置中描述的前提和要求。例如：您需要从自建MySQL迁移至自建MySQL，请查阅“ 用户指南 > 数据库迁移模块 > 数据传输 > 数据迁移 > 任务创建 >自建MySQL为源的迁移任务配置 > 自建MySQL迁移至自建MySQL ”目录下的相关约束条件。 迁移速度 迁移速度受源端表数量、大小，带宽、数据库磁盘IO以及公网传输距离等因素影响。 复杂业务拉起、支撑限制 传输复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试； 应用切换时，需要停止相关业务进程，以保持一致性。切换完成后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 单任务和迁移任务数量限制 每个任务单次可处理的表上限为500张；每个用户可并发执行的任务数量为50个。每个任务只能迁移一个数据库，如需迁移/同步/订阅多个数据库，您需要为每个数据库配置任务。 迁移节点配置限制 迁移节点所在主机最低配置为4核CPU，8GB内存，Linux内核大于3.1.0。请根据实际数据库体量和迁移需求提升主机配置。为避免迁移执行影响业务系统性能，请勿将迁移节点安装在业务系统或数据库主机。 迁移网络限制 仅支持独享IP。为避免迁移执行影响业务系统性能，请勿将业务系统的访问带宽、业务系统与数据库的传输带宽用于数据迁移。建议数据迁移使用独享带宽。 源库限制 暂不支持库、模式名、表、列名、结构名中带短划线“”，例如“testdb”； 请确保源库和目标库的字符集兼容或一致，否则可能会导致数据不一致或失败； 暂不支持无主键、多主键表进行增量迁移、同步、订阅和稽核修复。 迁移/同步/订阅任务限制 同步/订阅仅适用于数据变更小于1000record/s场景，请勿应用于中大型密集业务间同步、灾备等场景； 迁移/同步/订阅暂只支持任务启动之后传输数据的UPDATE、INSERT、DELETE变化，不支持任务过程结构变化传输； 任务运行过程中，请勿变更库、表或列结构变更的DDL操作，否则任务会失败； 不支持迁移系统库、系统模式、系统表、临时表； 迁移过程中请保证数据库不发生主备切换，否则会导致迁移失败； 迁移过程请保证数据库的信息（IP、端口、用户名和密码）不发生变化，否则会导致迁移失败； 如仅执行全量数据迁移，请勿向源端数据库写入新的数据，否则会导致源和目标数据不一致； 数据一致性的保持需要用户业务配合，请勿两个业务节点上对同一个主键数据进行更新，避免主键冲突或相互覆盖。 迁移源端和目标端配置限制 由于数据迁移会并发执行INSERT操作，导致目标数据库的表产生碎片，因此目标数据库磁盘空间应为源数据库1.2倍以上； 由于传输过程中会对源库和目标库产生一定资源占用，因此源库和目标库所在服务器的CPU和磁盘使用率应小于90%； 源库和目标库需保持时区一致。

本文介绍分布式消息服务RocketMQ入门指引的创建RocketMQ实例内容。 实例介绍 RocketMQ实例订购支持用户自定义规格和自定义特性，可根据业务需要定制相应规格的RocketMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富的用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息RocketMQ页面。 2、点击订购实例进入相应页面，左上角选择目标资源池。 1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 2）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、1年。该模式提供自动续期功能。 计费模式为按需计费，则该选项隐藏无需选择。 3）引擎类型目前默认选择RocketMQ引擎，完全兼容开源客户端的高性能低延时的消息队列。ctgmq引擎已调整为白名单特性，如需了解该引擎请联系技术支持。 4）版本号默认4.9，实例创建后，不支持变更版本。建议服务端版本和客户端版本保持一致。 5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署，单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 6）提供集群版和单机版两种规格选择模式，单机版实例面向用户体验和业务测试场景，无法保证性能和高可用。如果需要在生产环境使用RocketMQ实例，建议购买集群版实例。 7）CPU架构支持X86计算和ARM计算两类。 8）选择X86计算，可以选择计算增强型（默认Intel）和海光计算增强型主机；选择ARM计算，可以选择鲲鹏计算增强型主机。通用型规格已调整为白名单特性，如需了解该规格参数请联系技术支持。 9）代理规格：针对不同主机类型，RocketMQ提供不同性能表现的规格参数。 10）代理数量：选择单机版该选项不展示，选择集群版此选择支持116代理选择。 11）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO两类。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 12）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 13）选择已有子网，若无子网，点击创建跳转到子网页面新增。 14）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 15）填写实例名称，系统默认实例名称，用户可直接修改。 16）选择企业项目，创建新的企业项目可以到IAM配置。 17）创建实例标签，标签由区分大小写的键值对组成，您最多可以设置 20 个标签。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看RocketMQ实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

本节介绍云等保专区产品的数据库审计。 数据库审计v1.0是专业的数据库应用安全防护产品，帮助用户应对网站运营中的安全风险，为数据库应用提供全方位的防护，提供覆盖数据库使用全生命周期的安全防护解决方案。 功能介绍 产品功能分为原始信息收集 、审计信息标准化 、审计信息筛选 、预警与报表四大模块。 原始信息收集 通过旁路镜像的模式部署 不改变用户现有网络结构 不占用数据库服务器资源 不影响数据库性能 支持分布式部署 实现配置与报表的集中管理 并发流量采集与处理、多点存储、多级管理 自动定期发现功能，及时发现未知数据库 审计信息标准化 支持国内外主流数据库，包括传统的数据库系统、大数据系统和Web系统等。 具体支持的系统和版本如下表所示： 数据库分类 数据库系统 版本 关系型 Oracle 8i、9i、10g、11g、12c、18c、19c、21c 关系型 MySQL 4.0、4.1、5.0、5.1、5.5、5.6、5.7、8.0 关系型 SQL Server 2000、2005、2008、2012、2014、2016、2017、2019 关系型 Sybase ASE 11.9、12.5 关系型 DB2 v80、v81、v82、v95、v97、v10.5、v11.1、v11.5 关系型 Informix IDS9 关系型 Oscar 5.5、5.7 关系型 达梦（DM） DM7、DM8 关系型 Cache 2010、2016 关系型 PostgreSQL 9、10、11、12、13、14 关系型 Teradata 所有版本 关系型 人大金仓（Kingbase） V6、V7、V8 关系型 GBase 8.5a、8.8s 关系型 MariaDB 5.1、5.2、5.3、5.5、10.0、10.1、10.2、10.3 关系型 Hana 1.0、2.0 关系型 GaussDB 100、200、300 关系型 LibrA 6 关系型 KDB 11 关系型 Sybase IQ 15.4 关系型 TiDB 4.X、5.X 关系型 Vertica 7、8、9、10、11 关系型 OceanBase 2.X 关系型 PolarDB MySQL、PostgreSQL、兼容Oracle语法 关系型 PolarDBX 1.0/MySQL5、1.0/MySQL8、2.0/MySQL5.7 关系型 AnalyticDB MySQL、PostgreSQL 关系型 TBase V2 关系型 HighGo 6.0 关系型 TDSQLC MySQL 5.7、8.0 关系型 TDSQLC PostgreSQL 10、14 非关系型 MongoDB 2.x、3.x、4.x、5.x 非关系型 HBase（protobuf） 所有版本 非关系型 HBase（thrift） Thrift1、thrift2 非关系型 Hive 1.X、2.X、3.X 非关系型 Redis 所有版本 非关系型 Elasticsearch 所有版本 非关系型 Cassandra 3.X 非关系型 HDFS 所有版本 非关系型 Impala 3.X 非关系型 Graphbase 6 非关系型 Greenplum 5、6 非关系型 Spark SQL（thrift） 1.x、2.x 非关系型 Spark SQL（RESTful） 1.x、2.x 非关系型 SSDB 所有版本 非关系型 ArangoDB 3.4.9 非关系型 Neo4j 4.2.0 非关系型 OrientDB 3.1.6 大数据 HBase（protobuf） 所有版本 大数据 HBase（thrift） thrift1、thrift2 大数据 Hive 1.X、2.X、3.X 大数据 Cassandra 3.X 大数据 HDFS 所有版本 大数据 Impala 3.X 大数据 Graphbase 5、6 大数据 Spark SQL（thrift） 1.x、2.x 大数据 Spark SQL（RESTful） 1.x、2.x 大数据 SSDB 所有版本 大数据 MAX COMPUTE 所有版本 图形 Graphbase 6 图形 ArangoDB 3.4.9 图形 Neo4j 4.2.0 图形 OrientDB 3.1.6 全文检索 Elasticsearch 所有版本 文档 MongoDB 2.x、3.x、4.x、5.x 文档 ArangoDB 3.4.9 键值 Redis 所有版本 其他 HTTP 所有版本 其他 Telnet 所有版本 其他 FTP 所有版本 RDS MySQL 5.5、5.6、5.7、8.0 RDS SQL Server 2008 R2云盘版、2012 Web、2012企业版 单机、2012企业版、2012标准版、2014企业版、2014标准版、2016 Web、2016企业版、2016标准版、2017 Web、2017企业集群版、2017标准版、2019 Web、2019企业集群版、2019标准版 RDS PostgreSQL 10、11、12、13、14 将不同数据库协议按照标准化的格式进行展示，方便管理人员阅读和分析。

本章主要介绍步骤八：配置流水线，实现持续交付 流水线服务提供可视化、可定制的自动交付软件生产线，支持代码检查、构建、部署等多种任务类型。 随着项目的进行，各个环节（构建、发布、部署）越来越标准化。但是每个环节都相对独立，是半成品，不能交付业务价值。将每一个环节有效的串联起来形成一套完整的持续交付流水线，才能够真正提高软件的发布效率与质量，持续不断的创造业务价值。 通过本章节，您将了解开发人员Chris如何将代码检查、构建、部署任务串联起来，实现持续交付。 预置流水线简介 样例项目中预置了如下表所示的5个流水线任务，可根据需要查看并使用。 预置流水线任务 预置流水线任务 任务说明 phoenixworkflow 基本的流水线任务。 phoenixworkflowtest 测试环境对应的流水线任务。 phoenixworkflowwork Worker功能对应的流水线任务。 phoenixworkflowresult Result功能对应的流水线任务。 phoenixworkflowvote Vote功能对应的流水线任务。 说明 关于Vote、Result、Worker的说明，请参见 section989mcpsimp 配置并执行流水线 为了更好地介绍操作流程，本章节将创建全新的流水线。 一条流水线通常由多个阶段构成，每个阶段中可以添加多个子任务，并可以配置阶段下子任务是串行执行还是并行执行。 步骤 1 创建流水线。 1. 进入“凤凰商城”项目，单击导航“构建&发布 > 流水线”。 2. 单击“新建流水线”，配置流水线信息。 选择流水线源：配置以下信息，单击“下一步”。 流水线基本信息 配置项 配置建议 流水线源 选择“Repo”。 代码库名称 选择“phoenixsample”。 默认分支 选择“master”。 选择模板：选择“空模板”，单击“确定”。 3. 选择“基本信息”页签，输入流水线名称“phoenixsamplepipeline”。 4. 选择“工作流”页签，配置工作流。 单击“构建和检查”阶段中的的“添加任务”。在右侧滑出框中配置代码检查任务，单击“保存”。 代码检查任务配置 配置项 配置建议 类型 选择“代码检查”。 名称 输入自定义名称。 请选择需要调用的任务 选择“phoenixcodecheckworker”。 检查模式 提供三种检查模式，根据需要选择。 Full：全量检查，扫描代码仓里的所有文件。 Incremental（last commit）： 增量检查，基于最近一次commit文件进行扫描。 Incremental（last success）：增量检查，基于最近一次门禁通过后的变更文件进行扫描。 按照同样的方式，在“构建和检查”阶段中添加构建任务“phoenixsampleci”，任务的参数配置与构建任务一致。 单击“构建和检查”阶段后的，添加一个阶段。 图 添加阶段 5. 单击新增阶段名称后的，在右侧滑出框中输入名称“部署”，单击“保存”。 6. 参照上述步骤 ，在部署阶段中添加应用“phoenixcdcce”，任务的参数配置与部署应用一致。 7. 单击“保存”，完成流水线的创建。 步骤 2 进入云容器引擎服务。找到目标集群，单击，选择“无状态负载”页签，确认列表中无记录。 若列表中有记录，则勾选全部记录，单击“批量删除”，并在弹框中勾选所有选项，单击“是”，将列表记录清空。 步骤 3 返回流水线列表页面，单击“phoenixsamplepipeline”所在行的，在滑出的窗口单击“运行”，启动流水线。 当页面中显示时，表示任务执行成功。 若任务执行失败，请于执行失败的任务处检查失败原因，可打开步骤详情查看任务日志，根据日志进行排查。