连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。

开通Web应用防火墙（独享版）服务后并将您的网站域名接入WAF，使网站的访问流量全部流转到WAF进行防护。 Web应用防火墙的使用流程 子流程 说明 :: 申请独享引擎 通过申请独享引擎开通WAF。 详细操作请参见：申请WAF独享引擎。 添加防护网站 添加需要防护的网站。 详细操作请参见：网站接入WAF。 添加防护域名后，可开启WAF防护，保护网站业务安全稳定。 说明 WAF引擎不是运行在客户的Web服务器上的，所以对客户的Web服务器的资源性能没有影响。 接入WAF之后，根据请求页面的大小和数量，会有几十毫秒的延迟。 配置防护策略 防护策略是多种防护规则的合集，用于配置和管理Web基础防护、黑白名单、精准访问防护等防护规则，一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。 详细操作见配置防护策略。 管理防护规则 Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面，通过查看并分析防护日志，对网站的防护策略进行调整，也可以对误报时间进行屏蔽。 详细操作见管理防护事件。 处理误报事件 WAF拦截或者记录的攻击事件为误报时，可对误报进行屏蔽处理。详细操作请参见：处理误报事件。 安全总览 可查看到昨天、今天、3天、7天或者30天范围内的防护数据。详细操作请参见：安全总览。

本文将介绍如何通过IP黑名单功能拦截来自指定IP、指定IP段与指定地域的IP地址请求。 功能介绍 通过访问控制功能，能够帮助您拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本支持配置IP、IP段、区域等粒度的访问控制功能（体验版支持配置IP粒度的访问控制） 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入【访问控制】页面 配置说明 配置项 说明 开关 访问控制策略的开关，支持开启或关闭 处理动作 支持配置处理动作为告警、加白、攻击标记、拦截、丢弃 告警：请求命中访问控制策略后，不对其拦截，仅记录攻击日志 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意Web安全防护策略 攻击标记：加白对应范围，但是如果请求触发规则，会记录在攻击日志 拦截：请求命中访问控制策略后，将对其进行拦截并记录攻击日志 丢弃：拦截后不会响应页面，会减少带宽 规则名称 访问控制策略的规则名称 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度，不同套餐版本支持选择不同的粒度，具体可见 套餐和版本说明 关系：包含/不包含 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔

本文介绍如何通过Web应用防火墙（边缘云版）对HTTPS业务进行防护。 Web应用防火墙（边缘云版）所有套餐版本均支持防护HTTPS业务，详情可参考套餐和版本说明。 如您有防护HTTPS业务的需求，需要您在Web应用防火墙（边缘云版）控制台上传对应的证书，并在域名配置页面里面开启HTTPS并关联相关证书，详细操作步骤如下： 1、上传HTTPS证书 （1）在WAF控制台里面选择证书管理，并点击添加证书。 （2）在弹出的页面里面将证书的公钥私钥字符粘贴进相应的文本框，并设置证书备注名。 2、在新建域名配置的时候关联证书 （1）点击域名管理域名列表，在左上角点击 新增域名。 （2）新增域名配置的时候，勾选上HTTPS协议，并在下方关联域名证书。

本小节介绍云解析的应用场景。 域名安全解析应用场景 针对各级政府、金融机构、新闻媒体、国有企事业单位的关键信息基础设施提供专业的权威解析服务。对重点域名提供安全监控服务，实时保证重点域名的解析以及用户访问可达。借助网站拨测功能，实现故障屏蔽，从而保障用户互联网服务的高可用。通过自研的DNS抗DDoS专用产品，可有效的对攻击DNS的DDoS报文实现准确识别和清洗。拥有多年国家顶级域名的运行经验，在域名系统的建设、运行、安全防护等方面积累了大量的运营和维护经验，参与并完成了多次重大活动期间域名解析安全保障工作。 实现功能 配置CNNIC自主研发的DNS专用产品，包括解析、抗攻击、安全监控等设备。 在多个城市部署域名安全服务系统监测节点，及时采集监测数据并回传到控制中心进行处理和分析，并根据预设条件进行必要的安全预警以及应急触发。 融合CNNIC多年DNS系统建设和维护的实践。 IPV6双栈应用场景 通过简单易用的操作平台，为企业和广大域名所有者提供安全稳定的DNS云解析服务。通过BGP + Anycast方式组网，使云解析具备完善的网络架构，使用CNNIC自主研发的DNS专用产品构建服务平台，包括抗攻击产品、权威解析产品和DNS实时流量监控产品。提供对IPv6的支持，可满足用户分区域、分运营商的精准解析，实现域名快速、稳定、安全的权威解析。 实现功能 系统运行IPv4/IPv6双栈，可同时提供IPv4和IPv6网络的解析请求。 网络架构采用BGP + Anycast技术跨区域、跨运营商异构部署。 配置CNNIC自主研发的DNS专用产品，包括解析、抗攻击、安全监控等设备。 全球部署多个节点，提供智能的、弹性的平台支持能力。

云产品 应用场景 描述 相关操作 弹性公网IP 单个ECS连接公网 申请一个弹性公网IP（EIP）并将其绑定到ECS上，ECS即可连接公网，实现主动访问公网或面向公网提供服务。 支持动态绑定和解绑ECS。可以使用共享带宽和共享流量包，降低公网成本。 使用EIP连接公网 （地址：文档VPC快速入门《搭建IPv4网络》） NAT网关 多个ECS共享弹性公网IP连接公网 NAT网关提供SNAT和DNAT两种功能：SNAT可实现同一VPC内的多个ECS共享一个或多个EIP主动访问公网， 有效降低管理成本，同时减少了ECS的EIP直接暴露的风险。DNAT功能还可以实现端口级别的转发， 将EIP的端口映射到不同ECS的端口上，使VPC内多个ECS共享同一EIP和带宽面向公网提供服务，但没有均衡流量的功能。 使用SNAT连接公网 （地址：文档NAT网关快速入门《使用SNAT连接公网》）， 使用DNAT面向公网提供服务（地址：文档NAT网关快速入门《面向公网提供服务》） 弹性负载均衡 通过将访问流量均衡分发到多个ECS的方式对外提供服务， 比如电商等高并发访问场景 弹性负载均衡（ELB）可以将访问流量均衡分发（支持4层和7层两种方式）到多个后端ECS上， 通过绑定EIP支撑海量用户从公网访问ECS。通过流量分发扩展应用系统对外的服务能力， 通过消除单点故障提升应用系统的可用性。 弹性负载均衡介绍 （地址：文档弹性负载均衡产品介绍）

本文介绍只读实例的基本作用、架构、应用场景、使用限制等。 只读实例简介 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法承受读取压力，甚至对业务产生影响。为实现SQL Server读能力的弹性扩展，分担数据库读压力，您可以创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求。 基本架构 只读实例基于SQL Server源生的AlwaysOn技术实现，通过物理复制方式实现主实例到只读实例的数据同步。只读实例节点以异步的方式加入主实例的AlwaysOn集群并作为其中一个辅助节点。只读实例的拓扑图如下所示。 使用限制 目前仅2022企业版、2019企业版、2017企业版的主备实例支持创建只读实例。 1个主实例最多支持创建5个只读实例。 不支持单独购买只读实例，需要购买主实例后，才能购买只读实例。 只读实例采用单节点结构，没有备节点。 只读实例需要与主实例在同一区域，但是可以选择不同可用区。 计费标准 只读实例需要额外收费，目前仅支持按需计费。计费详情请参见计费说明产品资费只读实例。 应用场景 单个实例负载过大时，可以创建只读实例，将读请求转发至只读实例，用于缓解主实例负载。 面对报表分析等场景，使用只读实例查询分析大量数据，不影响主实例。 面对容灾场景，使用只读实例作为主实例的容灾备份。

查看规则 在审计管理 > 审计规则界面查看审计规则列表，点击某一个审计规则的查看按钮，可以查看该审计规则的详情。 修改规则 在审计管理 > 审计规则界面查看审计规则列表，点击某一个审计规则的修改按钮，可以修改该审计规则的定义。 在使用中的审计规则目前不支持修改。如果要修改，先从所有应用改审计规则的实例的策略中去掉之后，才可以修改，然后再重新应用到实例的策略中去。 删除规则 在审计管理 > 审计规则界面查看审计规则列表，点击某一个审计规则的删除按钮，可以删除该审计规则。 在使用中的审计规则目前不允许删除。如果要删除，先从所有应用改审计规则的实例的策略中去掉之后，才可以删除。 审计策略管理 在审计策略界面，选中实例之后，可以对实例的进行创建审计策略、修改审计策略、查看审计策略等操作。 一个实例目前只允许创建一条审计策略。当实例没有审计策略时，新建策略按钮可用，用户可以给实例创建对应的审计策略。 新建审计策略 新建审计策略时需要填写相关参数，具体的参数说明如下： 参数 类型 说明 审计规则 列表 审计策略包含的审计规则列表，支持多选。 auditLogFile string 审计日志文件的保存路径，可自定义，如 /htapaudit/audit.log auditLogRotateOnSize number 审计日志按大小滚动的阈值，单位MB。 auditLogRotations number 审计日志滚动时最多保留的文件个数。审计日志占用空间上限是 auditLogRotations auditLogRotateOnSize MB，不能超过 5 GB。 auditLogFormat string 审计日志格式，目前只支持json。 是否启用 布尔 审计开关，选中表示审计打开，未选中表示审计关闭。

合作伙伴认证简介 2015年，由ctyun推出的针对云服务软件商的认证评选活动。“天翼云合作伙伴认证”以推动云应用的发展、普及，促进软件应用与天翼云产品的融合为目的，招募软件服务商成为合作伙伴，围绕天翼云产品和服务展开多角度的服务合作。

云产品 应用场景 描述 优势 弹性IP 单个ECS连接公网 弹性IP是可以独立申请的公网IP地址， 将弹性IP地址和子网中关联的弹性云主机绑定和解绑， 可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 支持灵活绑定云资源。 支持IPv4、IPv6双栈访问公网能力。 灵活调整网络带宽。 独立管理弹性IP生命周期。 支持多种计费方式。 NAT网关（NAT Gateway） 多个ECS共享弹性公网IP连接公网 NAT网关能够为虚拟私有云内的计算实例提供网络地址转换服务， 使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹 性云主机提供互联网服务。 灵活部署。 简单易用。 降低成本。 高性能。 高可用。 弹性负载均衡(CTELB, Elastic Load Balancing) 通过将访问流量均衡分发到多个ECS的方式 对外提供服务，比如社交媒体等高并发访问场景 弹性负载均衡通过将访问流量自动分发到多台云主机，扩展应用 系统对外的服务能力，实现更高水平的应用程序容错性能。 高性能。 高可用。 支持TCP、UDP、HTTP和HTTPS多种协议。 高可靠。 简单易用。 低成本。

本小节介绍态势感知功能特性。 基础版及通用功能 资产发现 通过主被动两种资产探测方式，实时精准地持续监控资产变化情况，可自动识别网络设备、主机、安全设备、操作系统、数据库、Web应用等。 资产管理 资产组件信息、变化趋势、端口分布、归属、操作系统分布自动化统计。可根据IP、操作系统、应用组件/服务、归属部门、硬件信息等进行资产高级检索，快速统计资产信息、根据资产特征排查安全隐患。 脆弱性检测 通过漏洞扫描完成资产脆弱性评估，漏洞库可覆盖当前网络环境中主流的操作系统、数据库、Web中间件、网络设备漏洞，同时，对接国家安全监测平台的漏洞预警、安全事件通报及漏洞检测规则，完成检测规则的更新，有效应对突发安全事件，支持以资产存在漏洞及漏洞影响资产两个维度展示脆弱性资产。 网络威胁检测 根据网络流量可识别丰富的网络应用层协议，通过协议分析、内容萃取等报告对应的异常事件，可检测勒索软件、恶意软件、信息泄露、C&C通信、扫描探测、暴力破解、系统提权、Web攻击等网络威胁。同步国家能力中心下发的恶意URL、域名等信誉数据，完成新型威胁及高级持续威胁的检测。 高级版功能

快速响应 配备高配GPU和CPU等硬件来支撑能力，这种高效的硬件配置可以大幅度缩短内容审核的时间，从而快速给出反馈结果。GPU的强大计算能力可以使得系统在短时间内处理大量的数据和特征，提高审核速度。除了硬件配置外，还采用算法和策略来优化审核速度。例如，采用多线程、分布式等技术实现并行处理和并发计算，进一步提高审核效率。 这种快速的反馈可以缩短用户等待时间，提升用户体验，同时也提供了更好的内容管理和监管能力。 支持跨平台部署 支持服务端和移动端，覆盖多种业务场景，可以对不同类型的内容进行审核，如文本、图片、视频等。 服务端部署：通过API接口或Web服务等方式提供内容审核服务。这种部署方式适用于需要对大量内容进行集中审核的场景，如社交媒体平台、新闻网站、视频分享网站等。 移动端部署：可以集成到移动应用程序中，提供实时内容审核功能。这种部署方式适用于需要快速审核内容的应用场景，如短视频平台、直播平台、聊天应用等。通过在移动端集成智能内容审核功能，可以提升用户体验，同时保障内容的安全和质量。

本节介绍天翼量子AI云电脑在使用过程遇到问题，可通过检测工具进行自助检测和修复的操作。 在使用AI云电脑过程中如果遇到无法上网、核心组件异常、使用卡顿等问题，可使用“云电脑检测工具”进行自助检测和修复问题，获取良好的使用体验。操作流程如下： 1. 可通过桌面图标或“开始菜单”启动“云电脑检测工具”，若未找到检测工具应用，请在天翼云电脑应用市场下载。 2. 启动检测工具后，点击【立即体检】。在这过程中，工具将针对AI云电脑网络、组件服务、应用软件进行检测，并展示异常问题。若出现部分项目显示被“跳过”，是由于其依赖于前置问题的修复，可能需要进行多次的检测与修复操作。 3. 体检完成后，点击【一键修复】，工具将对异常项进行自动修复，显示最终修复情况。（注意：用户【忽略】的异常项，工具将不对其进行修复。部分异常若被忽略（如忽略网络模块中的硬件问题），将导致该模块的其余项目无法正常检修，建议谨慎操作。）

AppKey和AppSecret 客户端调用API 时，需要使用已授权签名密钥对请求内容的关键数据进行加密签名计算，并且将APP Key和加密后生成的字符串放在请求的 Header 传输给API网关，API网关会读取请求中的APP Key的头信息，并且根据APP Key的值查询到对应的APP Secret的值，使用APP Secret对收到的请求中的关键数据进行签名计算，并且使用自己的生成的签名和客户端传上来的签名进行比对，来验证签名的正确性。只有签名验证通过的请求才会发送给后端服务，否则API网关会认为该请求为非法请求，直接返回错误应答。 AppCode简单认证 扩展功能，暂未上线，作为保留字段。 AppCode简单认证就如同字面含义，旨在为用户提供一种快捷简单的认证方式去进行授权签名，无需在客户端实现复杂的签名算法，其作用等同于AppKey和AppSecret配对使用的效果。 后续将会允许用户通过header或者query参数调用AppCode，进行简单认证。 注意 简单认证方式调用非常省事，免去了复杂的签名过程，但是把AppCode作为明文暴露网络中传输，会带来一些安全隐患，存在丢失AppCode的风险。 API对消费者鉴权和自定义鉴权插件之间的关系? 消费者/应用配置可以在不同资源池中可以共享，在租户/用户级别上是隔离的，也即是说用户User1在区域Region1创建了的应用AppA，当用户User1切换区域到RegionB后，在应用列表可以看到AppA，并且可以对AppA进行修改、解除API的授权等操作，该操作在用户User1下所有区域及区域下已授权的所有API中进行同步。 自定义鉴权插件，对网关来讲属于实例级别的应用范围。用户在当前实例Instance1下添加的鉴权配置（插件配置管理），只适用于实例Instance1中所有的API。 总体来讲，消费者适用于租户级别下的API授权管理，不受区域、资源池、实例的限制；自定义鉴权插件，通常是作用与实例级别下的API授权管理，范围更小。

说明：本章会介绍天翼云RDS产品应用场景 读写分离 MySQL数据库的主实例和只读实例都具有独立的连接地址，每个云数据库MySQL单机实例、主备实例最多支持创建5个只读实例。 用户只需通过添加只读实例的个数，即可不断扩展系统的处理能力，无需更改应用程序。 数据多样化存储 关系型数据库服务支持与分布式缓存服务区Memcache、Redis和对象存储服务等存储产品搭配使用，实现多样化存储扩展。

在事件列表页面，可以筛选并查看所有告警事件。 功能入口 1. 登录【应用性能监控控制台】。 2. 在左侧导航栏选择告警管理>告警事件历史。 事件列表 事件列表页面显示了未恢复告警和已恢复告警的事件名称、通知策略、创建时间、事件数量、事件状态、事件对象。 在事件列表页面，您可以执行以下操作： 设置筛选字段，然后单击搜索，可以查看对应的告警事件。 字段 说明应用性能监控 事件名称 创建的告警规则的名称。 事件状态 告警事件的状态，共有以下3种状态： 告警中：告警事件持续被触发。 静默：命中静默条件的告警。 已恢复：在设置的时间内，告警事件不再触发。 事件对象 监控任务名称或集群名称。 集成类型 告警事件对应的集成类型。 单击事件名称，查看目标事件的详细信息。更多信息，请参见下方【事件详情】。 事件详情 事件详情面板显示了事件的基本信息、监控数据和扩展字段。

此小节介绍删除防护域名，您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 前提条件 已添加防护域名。 系统影响 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标防护域名所在行的“操作”列中，单击“删除”，进入删除防护域名对话框界面。 步骤6 在删除防护网站对话框中，确认删除防护网站。如果需要保留该域名绑定的防护策略，可以勾选“保留该域名的防护策略”。 步骤7 单击“确定”，页面右上角弹出“删除成功”，则说明删除操作成功。

新建通知策略时，可将联系人组设为告警通知的接收对象。当通知策略的匹配条件被触发后，应用性能监控告警管理模块会通过电话、短信、邮件等多种渠道，向该联系人组内所有成员同步推送告警通知。 前提条件 已创建联系人。 创建联系人组 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 在联系人 页签单击新建联系人组。 3. 在新建联系人组 对话框中输入组名 ，在下方选择告警联系人 ，并单击确认 。创建完成后，对应的联系人组将显示在联系人页签的左侧列表中。 管理联系人组 创建联系人组后，您可以在联系人页签查询、编辑或删除联系人组： 编辑联系人组：在目标联系人组右侧选择点击更多编辑，在弹出的对话框中修改联系人组的名称或包含的联系人，然后单击确定。 查看联系人组详情：单击联系人组名称即可在右侧查看联系人组中的联系人。 删除联系人组：在目标联系人组右侧点击更多删除，然后在弹出的提示对话框中单击确定。

新建通知策略时，可将联系人组设为告警通知的接收对象。当通知策略的匹配条件被触发后，应用性能监控告警管理模块会通过电话、短信、邮件等多种渠道，向该联系人组内所有成员同步推送告警通知。 前提条件 已创建联系人。 创建联系人组 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 在联系人 页签单击新建联系人组。 3. 在新建联系人组 对话框中输入组名 ，在下方选择告警联系人 ，并单击确认 。创建完成后，对应的联系人组将显示在联系人页签的左侧列表中。 管理联系人组 创建联系人组后，您可以在联系人页签查询、编辑或删除联系人组： 编辑联系人组：在目标联系人组右侧选择点击更多编辑，在弹出的对话框中修改联系人组的名称或包含的联系人，然后单击确定。 查看联系人组详情：单击联系人组名称即可在右侧查看联系人组中的联系人。 删除联系人组：在目标联系人组右侧点击更多删除，然后在弹出的提示对话框中单击确定。

海量文件服务OceanFS广泛应用于多种场景,本文带您更快了解经典应用场景。 场景一：高性能计算 场景说明 在仿真实验、工业设计CAD/CAE、生物科学、图像处理、科学研究、气象预报等涉及高性能计算解决大型计算问题的行业，海量文件系统为其计算能力、存储效率、网络带宽及时延提供重要保障。 场景痛点 海量数据、计算密集、实时分析、操作频繁，需要超高性能文件系统支撑。 产品优势 低成本：单文件系统容量弹性扩容，按需付费，最大可扩容至PB级。 高性能：单文件系统支持5万IOPS，访问时延低至10ms左右。 场景二：内容管理和Web应用 场景说明 高性能网站需要将服务组成集群，将代码文件、配置文件或图片等业务数据放在NAS存储上共享访问，通过多级Cache等技术，在海量小文件场景下，提供高并发、低时延的存储需求。 场景痛点 业务操作连续性高，加载缓慢将影响处理效率。 大量访问时，加载缓慢、卡顿。 产品优势 超高性能：单文件系统能最多存储40亿个文件，访问时延低至10ms。 超高并发：能处理突发的高峰流量，有效解决网站动态数据加载慢和业务卡顿问题。 场景三：媒体处理 场景说明 媒体处理业务中需要对音视频素材进行存储，并且需要多人协作处理素材，海量文件服务作为共享文件存储支持可用于视频制作与编辑时的素材存储管理及高效协作。

云主机备份在支持崩溃一致性备份的基础上，同时支持数据库备份。文件/磁盘数据在同一时间点，通过数据库备份内存数据，能够保证应用系统一致性，如包含MySQL或SAP HANA数据库的弹性云服务器。 约束与限制 暂不支持集群的应用一致性，如MySQL Cluster，只支持单个服务器上应用的一致性。 建议在业务量较小的时间段执行数据库备份。 操作步骤 步骤1、登录云服务备份管理控制台。 1.登录管理控制台。 2.单击管理控制台右上角的，选择区域和项目。 3.选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、根据创建数据库备份规格的存储库。在数据库备份选项，需要勾选启用。 步骤3、将已安装Agent的云服务器，绑定至数据库备份类型的存储库上。根据创建云主机备份。 步骤4、若数据库服务器备份创建成功，则在备份列表中的备份名称可以旁边看到一个蓝色的“A”字样。 步骤5、若数据库服务器备份创建失败，则系统会自动创建服务器备份，同时存放于该数据库备份存储库中。在备份列表中的备份名称旁边可以看到一个灰色的“A”字样。可以在备份详情页中“管理信息”一栏查看数据库服务器备份失败的原因。 根据页面提示，返回云主机备份页面。若备份执行失败，可以根据任务页面的失败详情进行处理。

账号 概念描述 控制台权限 慧政智能体权限 主账号 实例的创建者 可进行实例查看、创建、使用、退订。 默认为管理员角色，可以进行系统管理配置，包括公共文档库配置、基座模型配置、用户管理、角色管理等。 子账号 主账号创建的子账号，具体详见 可进行实例查看、使用。 默认为访客角色，只有在管理员授权后才可获得特殊角色权限，默认仅有应用使用权限。 外部账号 非主子账号的其他账号 通过申请后 ，可进行实例查看、使用。 申请后默认为访客角色，只有在管理员授权后才可获得特殊角色权限，默认仅有应用使用权限。

配置参数 默认端口 端口说明 yarn.resourcemanager.webapp.port 8088 ResourceManager服务的Web http端口。 yarn.resourcemanager.webapp.https.port 8090 ResourceManager服务的Web https端口。 该端口用于：安全模式下，接入Resource Manager Web应用。 说明 端口的取值范围为一个建议值，由产品自己指定。在代码中未做端口范围限制。 安装时是否缺省启用：是 安全加固后是否启用：是 yarn.nodemanager.webapp.port 8042 NodeManager Web http端口。 yarn.nodemanager.webapp.https.port 8044 NodeManager Web https端口。 该端口用于： 安全模式下，接入NodeManager web应用。 说明 端口的取值范围为一个建议值，由产品自己指定。在代码中未做端口范围限制。 安装时是否缺省启用：是 安全加固后是否启用：是

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 调用链堆栈采集阈值 integer JAVA 0 2.0.4 请求时延超过阈值时自动打印堆栈。

服务名称 服务类别 关联与区别 防护对象 态势感知（专业版） 安全管理 态势感知（专业版）着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给态势感知（专业版）。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给态势感知（专业版）。 保障主机整体安全性。 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给态势感知（专业版），呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给态势感知（专业版）。 保障云上数据库安全和资产安全。

本章节主要介绍ALM18024 Yarn任务挂起内存量超阈值的告警。 告警解释 告警模块按60秒周期检测Yarn当前挂起的内存量大小，当Yarn上面挂起的内存量大小超过阈值时，触发该告警。挂起的内存量表示当前所有提交的Yarn应用还没有满足的内存量总和。 告警属性 告警ID 告警级别 是否自动清除 18024 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 队列名 产生告警的队列名。 队列指标名 产生告警的队列指标名。 对系统的影响 应用任务结束时间变长。 新应用提交后长时间无法运行。 可能原因 NodeManager节点资源过小。 队列最大资源容量设置过小，AM最大资源百分比设置过小。 监控阈值设置过小。 处理步骤 检查NodeManager节点资源 1.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn > ResourceManager(主)”，进入ResourceManager的WebUI页面。 2.单击“Scheduler”，在“Application Queues”中查看root队列是否资源用满。 是，执行步骤3。 否，执行步骤4。 3.对Yarn服务的NodeManager实例进行扩容。扩容后，查看告警是否消除。 是，处理完毕。 否，执行步骤6。 检查队列最大资源容量和AM最大资源百分比 4.查看pending任务对应的队列的资源是否用满。 是，执行步骤5。 否，执行步骤6。 5.在FusionInsight Manager界面，选择 “租户资源 > 动态资源计划”，根据实际需要，适当增加相应的队列资源。查看告警是否消除。 是，处理完毕。 否，执行步骤6。

本节介绍了文档数据库服务的只读节点简介。 为了扩展主节点的读请求能力，DDS提供具备独立连接地址的只读节点，适合独立系统直连访问，以缓解大量读请求给主节点造成的压力。 在对数据库没有写请求，但是有大量读请求的应用场景下，数据库的主备节点可能难以承受读取压力，甚至对业务造成影响。为了分担主备节点的访问压力，您可以根据业务需求创建一个或多个只读节点，来满足大量的数据库读取需求，增加应用的吞吐量。 只读节点与备节点（Secondary）的区别 节点 说明 应用场景 备节点 副本集备节点具有高可用保障，备节点和主节点组成高可用切换的能力，即某个主节点故障时，系统会自动切换流量至备节点。相应的，在主节点故障时，每个备节点均有可能被选举为新的主节点，来执行数据写入请求。 主备节点可以使用高可用地址连接实现全局读写分离，适用于读多写少的并发场景。从而在性能扩展的同时，屏蔽节点故障对业务带来的影响。 只读节点 副本集只读节点仅从主节点同步数据，不具备高可用保障，也不会被选举为主节点。只读节点具有独立的连接地址，适合独立系统直连访问，与已有副本集主备节点的连接互不干扰。 适合需要从现有实例中大量读取数据的业务场景。

应用场景 节点弹性伸缩基于社区的clusterautoscaler实现，仅支持pod pending等有限的场景。为应对更加复杂的伸缩场景，支持监控、告警、定时。

本节介绍了如何使用libpq连接云数据库GaussDB 数据库。 云数据库GaussDB 主备版部署形态未对此接口在应用程序开发场景下的使用做验证。因此对使用此接口做应用程序开发存在的风险未知，故不推荐用户使用此套接口做应用程序开发。推荐用户使用ODBC或JDBC接口来替代。 前提条件 编译并且链接一个libpq的源程序，需要做下面的一些事情： 获取libpq驱动， 解压GaussDBKernelVxxxRxxxCxxEULER64bitLibpq.tar.gz文件，其中include文件夹下的头文件为所需的头文件，lib文件夹中为所需的libpq库文件。 说明： 除libpqfe.h外，include文件夹下默认还存在头文件postgresext.h，gsthread.h，gsthreadlocal.h，这三个头文件是libpqfe.h的依赖文件。 包含libpqfe.h头文件： include 通过I directory选项，提供头文件的安装位置（有些时候编译器会查找缺省的目录，因此可以忽略这些选项）。如： gcc I (头文件所在目录) L (libpq库所在目录) testprog.c lpq 如果要使用制作文件(makefile)，向CPPFLAGS、LDFLAGS、LIBS变量中增加如下选项： CPPFLAGS + I (头文件所在目录) LDFLAGS + L (libpq库所在目录) LIBS + lpq 常用功能示例代码 此处以示例来说明连接方式： 示例1： /testlibpq.c / include 示例2： /testlibpq2.c 测试外联参数和二进制I/O。​在运行这个例子之前，用下面的命令填充一个数据库 ​CREATE TABLE test1 (i int4, t text);​INSERT INTO test1 values (2, 'ho there');​期望的输出是：​​tuple 0: got i (4 bytes) 2 t (8 bytes) 'ho there' /

云主机底层平台的安全由云厂商保证 天翼云云主机负责以下方面的安全性： 数据中心安全：包括机房容灾、人员管理、运维审计等。 物理基础设施安全：涉及计算服务器、网络设备、存储设备的安全，以及数据销毁、网络隔离、资产管理等。 虚拟化系统安全：包括租户隔离、安全加固、逃逸检测修复、补丁热修复、云盘三副本、数据擦除等。 云服务平台安全：包括但不限于云平台主子账号管理、多因素认证机制、云资源加固能力等。 云上资源的防护由客户保证 客户需要对以下方面负责： 操作系统安全：提升访问安全、使用安全加固操作系统、提升操作系统安全性。 网络安全：网络隔离、控制网络流量、网络流量监控、网关访问安全。 数据安全：加密存储、可信计算、备份与恢复等。 应用安全：漏洞防护、应用网络安全、应用流量安全等。 身份与访问控制：细粒度资源管控、多因素账号认证、访问控制安全性等。 监控与日志：健康状态监控、基础云监控、云审计、操作日志等。 安全体系落地实践 以云主机搭建场景WordPress为例，结合天翼云安全责任共担模型，通过以下安全防护措施，确保客户的网站免受常见网络威胁的影响： 购买云主机前 制定全局安全战略，将安全性融入DevOps中，自动化防御体系，深入理解云环境安全合规标准，识别、分类资产并管控访问。 创建云主机时 使用 VPC ：创建虚拟私有网络，实现网络隔离，保护内部网络。 开启安全防护 ：开启主机安全防护功能，如云主机安全卫士，提升主机安全性。 使用加密磁盘 ：选择加密磁盘，保护存储数据的安全。 配置安全组 ：合理配置安全组规则，限制端口访问，避免非法访问。 创建快照策略 ：创建云盘快照策略，定期备份数据，确保数据可用性。 设置 IAM 授权 ：创建 IAM 用户并分配合适权限，避免权限滥用。 云主机创建完成后 SSH 加固：更改 SSH 默认端口，禁用 root 用户登录，提升登录安全性。 配置 MySQL 安全：更改 MySQL 默认密码，限制数据库访问权限，保护数据库安全。 部署 WordPress ：从官方网站下载并安装 WordPress，启用安全插件，如 Wordfence 等，增强应用安全。 配置安全卫士：安装并配置服务器安全卫士，提供实时安全防护，提升系统安全性。 具体操作请参考：++基于弹性云主机部署 WordPress 的安全防护++

本章节介绍微服务治理中心权限管理功能 概述 微服务治理中心支持IAM权限管控，通过创建IAM用户并对其分配访问权限，用户可以实现对云服务和资源的访问及操作权限，避免分享账号。 前提条件 已创建IAM用户以及相应用户组，操作详情请参见创建IAM用户。 添加权限 使用主账号登录IAM控制台。 在控制台左侧导航栏中选择用户组。 选择相应的用户组项，在右侧操作列单击授权。 在用户组权限管理页面，勾选对应的权限策略，根据提示完成授权。 权限说明 权限策略是灵活的授权项，可以精确到功能和资源两个维度，对于微服务治理中心，控制台功能和应用资源将分别进行权限管控，实现细粒度的访问控制。 多个策略以”or”的关系进行评估，总体遵循Deny优先原则。 权限策略包含系统策略和自定义策略两种。 系统策略：微服务治理中心提供三种预置策略。 微服务治理中心查看者：只读权限，拥有控制台信息查询权限。 微服务治理中心使用者：读写权限，拥有除管理微服务治理中心产品和管理应用外的所有权限。 微服务治理中心管理者：管理权限，等同于主账号访问权限，拥有所有功能操作权限。 自定义策略：创建自定义策略可以支持更细粒度的授权，对于微服务治理中心，可以自定义功能访问权限以及资源访问权限。具体操作步骤请参考创建自定义策略。 配置示例： { "Version": "1.1", "Statement": [ // 具有服务鉴权功能权限和所有资源池特定命名空间下所有应用的访问权限 { "Effect": "Allow", "Action": [ "msgc:inst:getAppInfo", "msgc:inst:getServiceInfo", "msgc:inst:readAuthConfig", "msgc:inst:writeAuthConfig" ], "Resource": [ "ctrn:msgc::xxxxxxxx:namespace/${namespaceVal}/app/" ] } ] } 资源路径说明： 路径模板 ctrn:msgc:${regionCode}:${accountId}:namespace/${ns}/app/${appId} 参数说明： 参数 描述 regionCode 资源池标识，支持通配符‘’。 accountId 账户标识，系统自动填充。 ns 命名空间名称，支持通配符‘’。 appId 应用标识，支持通配符‘’。

sectionb6d9c8a71f3e57cf)。 目的地址 可选“IP地址”或“域名”。 说明 仅部分实例支持选择域名。 IP：根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加入向规则时，目的IP地址请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 域名：FQDN模式，支持精确域名和泛域名，例如 ctyun.cn、.ctyun.cn，可输入多个域名地址，使用英文逗号分隔。 地址簿选择：通过下拉框选择已添加的地址簿，添加地址簿请参见地址簿管理。 目的端口 支持输入端口号或使用已添加的地址簿： 输入端口：输入单个端口号或连续的端口号，例如10或110，0表示任意端口。 地址簿选择：通过下拉框选择已添加的端口地址簿，添加端口地址簿请参见添加端口地址簿。 协议类型 支持：TCP、UDP、ICMP、Any。 应用 在下拉框中选择应用，可选择“全部应用”或其中一个应用，包括MySQL、中国工商银行、维基百科、58同城、京东商城、滴滴出行、POP3、smtp、ssh、telnet、ftp、HTTPS、HTTP、IMAP、TeamViewer、必应和酷狗音乐等。 动作 设置防火墙对流量的处理动作，支持选择“放行”或者“阻断”。 描述 自定义规则描述。 优先级 定义规则优先级。支持“最前”、“最后”和“移动至选中规则后”，默认为“最后”。 当选择“移动至选中规则后”，会展示当前已有的防护规则，选中某条规则后，您当前添加的规则优先级将位于选中的规则之后。 策略有效期 支持选择以下选项： 总是：策略一直生效 单次指定时间段：选择策略生效的时间段，精确到分钟，单次有效。 重复生效时间段：支持在一定时间内的每天同一时段生效，精确到分钟。 说明 部分旧版引擎仅支持“总是”选项，若需要另外两种策略有效期请提交工单联系技术支持。 启用状态 在页面右上方选择是否启用该规则，默认为关。 开：表示启用，规则生效。 关：表示关闭，规则不生效。 4. 以上所有的字段填写完毕后，点击“确认”时，需要校验这条规则加入后，是否超过客户剩余的规格，若未超过则生成相应的防护规则。