本章节主要介绍认证策略。 大数据平台用户需要对用户进行身份认证，防止不合法用户访问集群。安全模式或者普通模式的集群均提供认证能力。 安全模式 安全模式的集群统一使用Kerberos认证协议进行安全认证。Kerberos协议支持客户端与服务端进行相互认证，提高了安全性，可有效消除使用网络发送用户凭据进行模拟认证的安全风险。集群中由KrbServer服务提供Kerberos认证支持。 Kerberos用户对象 Kerberos协议中，每个用户对象即一个principal。一个完整的用户对象包含两个部分信息：用户名和域名。在运维管理或应用开发的场景中，需要在客户端认证用户身份后才能连接到集群服务端。系统操作运维与业务场景中主要使用的用户分为“人机”用户和“机机”用户。二者主要区别在于“机机”用户密码由系统随机生成。 Kerberos认证 Kerberos认证支持两种方式：密码认证及keytab认证。认证有效时间默认为24小时。 密码认证：通过输入用户正确的密码完成身份认证。主要在运维管理场景中使用“人机”用户进行认证，命令为kinit 用户名 。 keytab认证：keytab文件包含了用户principal和用户凭据的加密信息。使用keytab文件认证时，系统自动使用加密的凭据信息进行认证无需输入用户密码。主要在组件应用开发场景中使用“机机”用户进行认证。keytab文件也支持在kinit命令中使用。 普通模式 普通模式的集群不同组件使用原生开源的认证机制，不支持kinit认证命令。FusionInsight Manager（含DBService、KrbServer和LdapServer）使用的认证方式为用户名密码方式。组件使用的认证机制如下表所示。 表 组件认证方式一览表 服务 认证方式 ClickHouse simple认证 Flume 无认证 HBase WebUI：无认证 客户端：simple认证 HDFS WebUI：无认证 客户端：simple认证 Hive simple认证 Hue 用户名密码认证 Kafka 无认证 Loader WebUI：用户名密码认证 客户端：无认证 Mapreduce WebUI：无认证 客户端：无认证 Oozie WebUI：用户名密码认证 客户端：simple认证 Spark2x WebUI：无认证 客户端：simple认证 Storm 无认证 Yarn WebUI：无认证 客户端：simple认证 ZooKeeper simple认证 认证方式解释如下： “simple认证”：在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”或“omm”）自动进行认证，管理员或业务用户不显式感知认证，不需要kinit完成认证过程。 “用户名密码认证”：使用集群中“人机”用户的用户名与密码进行认证。 “无认证”：默认任意的用户都可以访问服务端。

本文汇总了使用天翼云弹性高性能计算产品时常见的计费类问题。 弹性高性能计算有哪些计费项？ 弹性高性能计算服务本身为免费提供，但其涉及使用的产品如弹性云主机、物理机、弹性IP等，按照对应产品使用的收费标准另行收费。具体收费情况以下单页面费用为准。 弹性高性能计算涉及的其他产品到期了，集群还可以使用吗？ 集群可以使用的前提是需要至少保证管理节点和一个计算节点没有到期，如您集群涉及的资源满足上述要求，集群即可使用。 如果您需要通过公网访问弹性高性能计算集群，请您确认弹性IP服务未过期，并已绑定在管控节点。 如您在集群中自行挂载了NAS服务，NAS服务到期后对应的存储目录不可用，可能会对存储在目录中的作业造成影响。 物理机到期了，多久会释放资源？ 物理机到期后会自动冻结，物理机关机，冻结周期一般为15天，冻结期过后如不续费会删除实例。 在物理机资源将要到期时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续订操作或自行在控制中心进行续订。 如果用户在保留期内未执行续订操作，天翼云将发送资源超期提醒邮件，并在之后释放物理机资源。 物理机冻结后，如何解冻？ 当物理机资源被冻结后，用户可通过续费来解冻资源，恢复物理机正常使用。 当物理机资源到期而未续订时，自动进入保留期，且资源被冻结，您不能访问和使用该资源，例如无法下载物理机中的数据。并会发送短信及邮件提醒您。建议您尽快进行手动续订，如果保留期内不续订，物理机资源将被释放，同一订单内订购的资源也会被释放（弹性IP、云硬盘等）。 已经到期的包月物理机允许续订、不能发起退订，未到期的包月物理机可以退订。 资源到期冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源续订解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。

本章节主要介绍云搜索服务的跨AZ高可用性。 为了防止数据丢失并在服务中断时最大限度地减少集群停机时间，您可以在创建集群时，选择同一个区域中的两个或三个可用区，系统将在选择的可用区之间分配节点。 关于节点数的选择 当创建集群，可用区选择了两个或者三个时，云搜索服务自动为您开启跨AZ高可用特性，节点将会均衡的分布在不同的AZ。 关于节点的数量分布您可以参考下表： 集群节点个数 单AZ 两AZ 三AZ AZ1 AZ1 AZ2 AZ1 AZ2 AZ3 1节点 1 不支持 不支持 2节点 2 1 1 不支持 3节点 3 2 1 1 1 1 4节点 4 2 2 2 1 1 … … … … … … … 说明 l 云搜索服务不强制要求节点个数要为AZ数量的倍数。 l 创建集群时，选择的节点数量要大于等于AZ数量。 l 各个AZ之间节点数量差小于等于1。 关于副本设置 设置副本能最大程度的利用AZ的高可用能力。 在跨两个可用区的部署中，当其中一个AZ不可用时，剩下的AZ需要继续提供服务，因此索引的副本个数至少为1个 。 由于Elasticsearch默认副本数为1个，因此如果您对读性能没有特殊要求，可以直接使用默认值。 在跨三个可用区部署中，为了保证其中任意一个AZ不可用时，剩余的AZ需要继续提供服务，因此索引的副本数至少要为1个。当然，为了提高集群的查询能力，也可以设置更多的副本。由于Elasticsearch默认的副本数为1个，因此需要用户修改setting配置来实现修改索引副本个数。 可以通过如下命令修改索引的副本个数，如： curl X PUT d '{"numberofreplicas":2}' 也可以通过在模板中指定所有索引的副本个数，如： curl X PUT template/templatename d '{ "template":"","settings": {"numberofreplicas": 2}}' 说明 l ip：表示内网访问地址。 l numberofreplicas：修改后的索引副本个数。命令中的取值表示修改为2个索引副本。

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 进程状态告警 ProcessStatusAlarm 重要 GaussDB关键进程退出，包括：CMS/CMA、ETCD、GTM、CN、DN。 等待进程自动恢复或者自动主备切换，观察业务是否恢复。 如果业务未恢复，联系SRE。 主机进程故障，在主机上进行的业务将中断回滚。 备机进程故障不影响业务。 组件状态告警 ComponentStatusAlarm 重要 GaussDB关键组件无响应，包括：CMA、ETCD、GTM、CN、DN。 等待进程自动恢复或者自动主备切换，观察业务是否恢复。 如果业务未恢复，联系SRE。 主机进程无响应，在主机上进行的业务将无响应。 备机进程故障不影响业务。 集群状态告警 ClusterStatusAlarm 重要 集群状态异常，包括：集群只读、ETCD多数派故障、集群分布不均衡。 联系SRE。 集群只读：业务只读。 ETCD多数派故障：集群不可用。集群分布不均衡：集群性能/可靠性降低。 硬件资源告警 HardwareResourceAlarm 重要 集群中出现严重的硬件故障，包括：磁盘损坏、GTM网络通信故障。 联系SRE。 业务部分/全部受损。 状态转换告警 StateTransitionAlarm 重要 集群出现如下重要事件： DN build/build失败、DN强切、DN主备切换/failover、GTM主备切换/failover。 等待自动恢复，观察业务是否恢复。如果业务未恢复，联系SRE。 部分业务受损。 其他异常告警 OtherAbnormalAlarm 重要 磁盘使用阈值告警等。 关注业务变化，及时计划扩容。 超过使用阈值，将无法扩容。 实例运行状态异常 TaurusInstanceRunningStatusAbnormal 重要 由于灾难或者物理机故障导致实例故障时，会上报该事件，属于关键告警事件。 提交工单。 可能导致数据库服务不可用。 实例运行状态异常已恢复 TaurusInstanceRunningStatusRecovered 重要 针对灾难性的故障，GaussDB有高可用工具会自动进行恢复或者手动恢复，执行完成后会上报该事件。 不需要处理。 无 节点运行状态异常 TaurusNodeRunningStatusAbnormal 重要 由于灾难或者物理机故障导致数据库节点故障时，会上报该事件，属于关键告警事件。 检查数据库服务是否可以正常使用，并提交工单。 可能导致数据库服务不可用。 节点运行状态异常已恢复 TaurusNodeRunningStatusRecovered 重要 针对灾难性的故障，GaussDB有高可用工具会自动进行恢复或者手动恢复，执行完成后会上报该事件。 不需要处理。 无 创建实例业务失败 GaussDBV5CreateInstanceFailed 重要 创建实例失败产生的事件，一般是配额大小不足，底层资源耗尽导致。 先释放不再使用的实例再尝试重新发放，或者提交工单调整配额上限。 无法创建数据库实例。 添加节点失败 GaussDBV5ExpandClusterFailed 重要 一般是由于底层资源不足等原因导致。 提交工单让运维在后台协调资源，删除添加失败的节点，重新尝试添加新节点。 无 存储扩容失败 GaussDBV5EnlargeVolumeFailed 重要 一般是由于底层资源不足等原因导致。 提交工单让运维在后台协调资源再重试扩容操作。 如果磁盘满，会导致业务中断。 重启失败 GaussDBV5RestartInstanceFailed 重要 一般是由于网络问题等原因导致 重试重启操作或提交工单让运维处理。 可能导致数据库服务不可用。 全量备份失败 GaussDBV5FullBackupFailed 重要 一般是备份文件导出失败或上传失败等原因导致。 提交工单让运维处理。 无法备份数据。 差量备份失败 GaussDBV5DifferentialBackupFailed 重要 一般是备份文件导出失败或上传失败等原因导致。 提交工单让运维处理。 无法备份数据。 删除备份失败 GaussDBV5DeleteBackupFailed 重要 无需实现。 绑定EIP失败 GaussDBV5BindEIPFailed 重要 弹性公网IP已被占用或IP资源等原因导致。 提交工单让运维处理。 导致实例无法使用公网链接或访问 解绑EIP失败 GaussDBV5UnbindEIPFailed 重要 网络故障或公网EIP服务故障等原因导致。 重新解绑Ip或提交工单让运维处理。 可能导致IP资源残留 参数组应用失败 GaussDBV5ApplyParamFailed 重要 一般是由于修改参数组命令超时导致。 重新尝试修改参数组操作。 无 参数修改失败 GaussDBV5UpdateInstanceParamGroupFailed 重要 一般是由于修改参数组命令超时导致。 重新尝试修改参数组操作。 无 备份恢复失败 GaussDBV5RestoreFromBcakupFailed 重要 一般是由底层资源不足或备份文件下载失败等原因导致 提交工单。 可能导致在恢复失败期间数据库服务不可用

本章节主要介绍ALM16006 Hive服务进程直接内存使用超出阈值的告警。 告警解释 系统每30秒周期性检测Hive直接内存使用率，并把实际的Hive直接内存使用率和阈值相比较。当Hive直接内存使用率超出阈值（默认为最大直接内存的95%）时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Hive”修改阈值。 当Hive直接内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 16006 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Hive直接内存使用率过高，会影响Hive任务运行的性能，甚至造成内存溢出导致Hive服务不可用。 可能原因 该节点Hive实例直接内存使用量过大，或分配的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选中“告警ID”为“16006”的告警，查看“定位信息”中的角色名并确定实例的IP地址。 告警上报的角色是HiveServer，执行步骤2。 告警上报的角色是MetaStore，执行步骤3。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 实例”，单击告警上报的HiveServer，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存”，勾选“HiveServer内存使用率统计” ，单击“确定”，查看HiveServer进程使用的直接内存是否已达到HiveServer进程设定的最大直接内存的阈值（默认95%）。 是，执行步骤4。 否，执行步骤7。 3.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 实例”，单击告警上报的MetaStore，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存”，勾选“MetaStore内存使用率统计” ，单击“确定”，查看MetaStore进程使用的直接内存是否已达到MetaStore进程设定的最大直接内存的阈值（默认95%）。 是，执行步骤4。 否，执行步骤7。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 配置”，选择“全部配置”， 选择“HiveServer/MetaStore > JVM”，将“HIVEGCOPTS/METASTOREGCOPTS”参数中“XX:MaxDirectMemorySize”的值根据如下建议进行调整，并单击“保存”。 说明 a.HiveServer的GC参数配置建议 建议将“XX:MaxDirectMemorySize”值设置为“Xmx”值的1/8，比如：当“Xmx”设置为8G时，“XX:MaxDirectMemorySize”设置为1024M，“Xmx”设置为4G时，“XX:MaxDirectMemorySize”设置为512M。并且建议“XX:MaxDirectMemorySize”值不小于512M。 b.MetaServer的GC参数配置建议 建议将“XX:MaxDirectMemorySize”值设置为“Xmx”值的1/8，比如：当“Xmx”设置为8G时，“XX:MaxDirectMemorySize”设置为1024M，“Xmx”设置为4G时，“XX:MaxDirectMemorySize”设置为512M。并且建议“XX:MaxDirectMemorySize”值不小于512M。 5.选择“更多 > 重启服务”重启服务。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。

本节介绍云服务基线简介。 态势感知提供云服务基线检查功能。支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。 约束与限制 SA基础版暂不支持使用云服务基线检查功能。为及时了解云服务配置状态，以及确保云服务的配置的合理性，建议您使用专业版。

本文主要介绍节点操作系统。 集群版本与操作系统对应关系 如下为当前已经发布的集群版本与操作系统版本的对应关系，请参考： 表 虚拟机节点操作系统与集群版本对应表 操作系统 集群版本 内核信息 ::: CentOS Linux release 7.6 v1.23 3.10.01160.66.1.el7.x8664 CentOS Linux release 7.6 v1.21 3.10.01160.66.1.el7.x8664 CentOS Linux release 7.6 v1.19.16 3.10.01160.66.1.el7.x8664 CentOS Linux release 7.6 v1.19.10 3.10.01160.25.1.el7.x8664 CentOS Linux release 7.6 v1.19.8 3.10.01160.15.2.el7.x8664 CentOS Linux release 7.6 v1.17.17（停止维护） 3.10.01160.15.2.el7.x8664 CentOS Linux release 7.6 v1.17.9（停止维护） 3.10.01062.12.1.el7.x8664 CentOS Linux release 7.6 v1.15.11（停止维护） 3.10.01062.12.1.el7.x8664 CentOS Linux release 7.6 v1.15.6r1（停止维护） 3.10.01062.1.1.el7.x8664 CentOS Linux release 7.6 v1.13.10r1（停止维护） 3.10.0957.21.3.el7.x8664 CentOS Linux release 7.6 v1.13.7r0（停止维护） 3.10.0957.21.3.el7.x8664 Ubuntu 18.04 server 64bit v1.23 4.15.0171generic Ubuntu 18.04 server 64bit v1.21 4.15.0171generic Ubuntu 18.04 server 64bit v1.19.16 4.15.0171generic Ubuntu 18.04 server 64bit v1.19.8 4.15.0136generic Ubuntu 18.04 server 64bit v1.17.17（停止维护） 4.15.0136generic

本小节介绍日志审计(原生版)配置事件规则。 在新增资产设备后，您需要对事件规则进行配置才可以通过日志审计（原生版）服务获取业务所需的日志信息。 支持配置如下规则： 事件规则 功能介绍 配置解析接入规则 解析接入规则是对采集日志的分析，符合解析接入规则的日志才能被采集到日志审计平台。 配置事件分类规则 事件分类规则是对采集到的日志进行分组分类。 配置字段映射规则 字段映射规则是对采集到的日志字段内容映射，如等级字段，接收到的可能是数值1、2、3，可以通过字段映射成：低、中、高。 配置事件归并规则 事件归并规则是对过滤后的事件，基于归并条件进行归并。 配置事件过滤规则 事件过滤规则是对采集到的日志进行过滤，将不需要审计的日志条件填入规则，不再审计过滤的日志。

接口功能介绍 当前仅支持操作Windows系统的政企版规格的池化桌面池 接口约束 无 URI POST /v3/commonDesktopPool/addDesktops 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 d8bbd132b53a11e9b0e40242ac110002 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 desktopPoolOid 是 String 池化桌面池ID dpucod37vk0gca50kur44j4 resourcePackOid 是 String 资源包ID rspa94bn3qnadp0pgiv4mhxo templateOid 是 String 规格ID，当前仅支持Windows系统的政企版规格（暂不支持GPU规格） dft3h78mxfanrnf7l3004q7q sysDiskType 是 String 系统盘类型（hio高IO） hio sysDiskSize 是 Integer 系统盘大小（单位：GB），需为10的倍数，范围：[镜像系统盘大小,200] 120 desktopCount 是 Integer 云电脑数量，云电脑与用户数量比例为1:3，单次至少为1 1 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK returnObj Object 返回数据结构体。 returnObj

本页主要介绍如何通过云监控服务查看关系数据库MySQL版监控数据以及创建告警规则。 注意 当前仅西南1、华东1、华南2、华北2、西安7II类型资源池资源池的实例可以享受该服务。 操作场景 可以通过云监控服务查看实例的相关监控指标，并可以设置相关指标的告警规则，以及告警联系人。如需了解产品详细情况，请参考：云监控服务。 操作步骤 1.登陆天翼云官网，上方选择产品，并搜索选择“云监控服务”。 2.点击管理控制台，进入云监控服务。 3.在左侧导航栏选择云服务监控中的“关系数据库MySQL版”。 4.可以查看到该用户相关资源池下的实例监控，具体资源池支持情况以页面显示为准。 5.点击查看监控图表，可以查看到该实例相关监控指标，可以自定义查看的时间段。 6.点击创建告警规则，可以进行告警规则的编辑，配置相关告警通知以及告警策略。

您可以根据实际业务需要，续订包周期实例。本文为您介绍如何续订关系数据库MySQL版实例。 注意 仅包年/包月实例需要手动续订。 按需付费的实例停止后，如果您充值了账户余额，则会自动续订，无需手动续订。 详细的续订规则说明，请参见 约束限制 主实例续订后，只读实例不会同步续订。 注意 如需对只读实例进行续订，请务必保证主实例的期限大于只读实例续订后的总期限。否则，将无法单独续订只读实例，对主实例进行续订后才可以续订只读实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列选择更多 > 续订。 4. 在续订 页面，设置续订时长，然后单击确认。

应用场景说明 通用AI工具在知识管理、数据安全、团队协作、模型精准度等方面的不足，难以满足金融、医疗、教育等行业对数据合规、智能化升级的要求。某企业的公共数据或零散存储的文档多，无法系统化整合企业知识，导致知识分散在不同部门或存储位置，难以高效检索和利用，导致信息孤岛，协作效率低下，且文件存储、共享存在数据泄露风险。 企业专属智库打造专属知识空间，赋能企业智慧升级。支持知识的灵活增删与高效管理，精准检索助力知识快速定位。通过优化大模型推理，逐步实现自我进化，成为越用越懂你的企业大脑。 前提条件 已开通天翼云电脑（政企版），详情请参见快速订购云电脑< 操作步骤 步骤一：开通企业认证，管理企业知识 通过通过天翼云电脑（政企版）控制台菜单找到“AI应用中心”——“企业 管理”，点击“申请开通”即可申请开通企业知识库。 等待5分钟后刷新页面

本节介绍快照的管理方式，管理员可使用已创建的系统快照进行还原桌面操作。 操作场景 用户在使用AI云电脑过程中，管理员可以根据需要对AI云电脑进行创建系统快照、还原桌面操作（路径：桌面管理管理）。创建系统快照后，管理员也可以在“快照管理”页面里对系统快照进行查询、编辑、删除等操作。 系统默认一个AI云电脑只能创建一个快照，管理员如需对AI云电脑重新创建系统快照，请先删除原有的快照，再创建新的系统快照。 编辑快照 1. 进入“AI云电脑（政企版）”管理控制台； 2. 展开“AI云电脑管理”菜单栏，选择“快照管理”，进入快照管理页面； 3. 在需要编辑的快照所在行，点击“编辑”； 4. 进入“编辑快照”页面； 5. 编辑快照名称、快照描述等信息； 6. 点击“确定”，即完成编辑快照。 删除快照 1. 进入“AI云电脑（政企版）”管理控制台； 2. 展开“AI云电脑管理”菜单栏，选择“快照管理”，进入快照管理页面； 3. 在需要删除的快照所在行，点击“删除”； 4. 弹出“删除快照”对话框； 5. 点击“确定”，即完成删除快照。

本节介绍跨域互通带宽的管理操作。 设置跨区域互通带宽 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“跨域互联”，进入跨域互联管理页面； 3.在操作实例中，点击“跨域互联名称”； 4.进入跨域互联详情跨域互通带宽管理，点击“设置跨区域互通带宽”； 5.选择要互通的区域并设置带宽大小； 6.选择带宽类型，类型包括VPN、专线，其中专线类型需要对应的资源池都支持专线才能选择； 7.确认开通后，即可查看到对应的跨域互通带宽信息。 修改跨区域互通带宽 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“跨域互联”，进入跨域互联管理页面； 3.在操作实例中，点击“跨域互联名称”； 4.进入跨域互联详情跨域互通带宽管理，选择需设置跨域互通带宽所在行； 5.点击“变更”，选择带宽分配值即可。

状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知： 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 步骤 4 单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 关闭“公网访问”开关。 步骤 4 在弹出对话框单击“确定”。

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文介绍如何在科研助手中创建共享集群。 概述 共享资源池底层集群和服务器 由科研助手平台进行维护和支撑，让您无需创建和管理服务器集群，只需引用科研助手的共享资源池即可直接运行作业。如果业务是成熟稳定的，建议您使用共享资源池，可以省去对资源的关注。 操作步骤 1. 登录科研助手管理控制台，在左侧导航栏点击【资源配额】中的【资源池管理】。 2. 在【资源池管理】页面中，单击左上角【创建共享资源池】。填报说明：资源池名称可填写你所需要的标注资源池名称；资源池描述填写简短概述资源池用途等；资源池所属区域为下拉选项，为科研助手目前开放的共享资源池，已被引用的共享资源池为灰色不可再次选择。 3. 在【创建共享资源池 】页面中，单击右下角【立即创建 】按钮，完成共享资源池 创建；点击【取消 】按钮，放弃共享资源池创建。

该任务指导用户通过漏洞扫描服务新增监测任务，监测任务新增成功后，自动开启监测。 操作场景 漏洞扫描服务支持网站扫描，网站是您的“资产”，您可以在“安全监测”界面对您的资产进行安全扫描与编辑操作。 说明 漏洞扫描服务的基础版不支持安全监测功能，如果您是基础版用户，请您通过购买专业版、高级版或企业版使用该功能。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“已认证”。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“安全监测”页面，单击“新增监测任务”。 4. 进入新增监测任务入口。 5. 在“新增监测任务”界面，请根据下表进行扫描设置。 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 扫描周期 单击下拉框选择任务扫描周期。 每天 每三天 每周 每月 开始时间 设置监测任务开始的时间。 扫描模式 三种扫描模式： 极速策略：扫描耗时最少，能检测到的漏洞相对较少。 标准策略：扫描耗时适中，能检测到的漏洞相对较多。 深度策略：扫描耗时最长，能检测到最深处的漏洞。 是否扫描登录URL 默认不扫描登录URL，开启扫描登录URL前，请务必确认不会影响正常业务 扫描项设置 VSS支持的扫描项参照下表。 ：开启 ：关闭 扫描项设置： 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 6. 设置完成后，单击“确认”。

set to true if target is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required tls false 6、在线迁移，同步数据。 使用如下命令同步源Redis集群和目标Redis集群数据： ./redisshake shake.toml 执行日志中出现如下信息，代表同步完成： all done 7、迁移后验证。 数据同步结束后，可使用rediscli工具连接DCS 实例，通过dbsize查看Key数量，确认数据是否完整导入。 如果数据不完整，可使用flushall或者flushdb命令清理实例中的缓存数据后重新同步。 8、清理RedisShake配置文件。

本章节主要介绍在Hive MetaStore实例进行Master扩容后，对其他相关服务的修改建议。 前置条件 1. Hive MetaStore完成扩容与配置生效操作。 2. 集群状态正常。 相关服务修改建议 Flink 如果用户配置了数据湖作业，那么就需要登录到所有的Flink client主机，在flink配置目录/user/local/flink/conf/中建立对/user/local/hive/conf/hivesite.xml的软链。 如果Hive MetaStore进行了节点扩容，需要更新该软链或文件，保证Flink使用到的是扩容后的hivesite.xml文件。 最后，根据扩容后的Hive MetaStore节点，更新数据湖作业中配置的hive.uri，并重启作业。 如果用户没有配置数据湖作业，则Flink不需要做任何操作。 Trino 通过翼MR Manager进入Trino集群的“配置管理”页面，修改hive.properties文件。 在参数hive.metastore.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Trino集群服务。 Spark 通过翼MR Manager进入Spark集群的“配置管理”页面，修改sparkdefaults.conf文件。 在参数spark.sql.catalog.sparkcatalog.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Spark集群服务。

本章节主要介绍ALM45176 OBS元数据接口调用成功率低于阈值的告警。 告警解释 系统每30秒周期性检测OBS元数据接口调用成功率是否小于阈值，当检测到小于所设置阈值时就会产生该告警 。 当OBS元数据接口调用成功率大于阈值时，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 45176 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 OBS元数据接口调用成功率小于阈值，会影响上层大数据计算业务的正常执行，导致某些计算任务的执行失败。 可能原因 OBS服务端出现执行异常或严重超时。 处理步骤 检查堆内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > OBS元数据接口调用成功率低于阈值”，查看“定位信息”中的角色名并确定实例的IP地址。 1. 选择“集群 > 待操作集群的名称 > 服务 > meta > 实例 > meta（对应上报告警实例IP地址）”。单击图表区域右上角的下拉菜单，选择“定制”，在“OBS元数据操作”中勾选“OBS接口调用成功率”，单击“确定”，查看OBS元数据接口调用成功率，确定是否有接口调用成功率低于阈值。 是，执行步骤3。 否，执行步骤5。 2. 选择“集群 > 待操作集群的名称 > 运维 > 告警 > 阈值设置 > meta > OBS元数据接口调用成功率”，将阈值或平滑次数参数的值根据实际情况调小。 3. 观察界面告警是否清除。 是，处理完毕。 否，执行步骤5。

本章节主要介绍ALM45177 OBS数据读操作接口调用成功率低于阈值的告警。 告警解释 系统每30秒周期性检测OBS数据读操作接口调用成功率是否小于阈值，当检测到小于所设置阈值时就会产生该告警 。 当OBS数据读操作接口调用成功率大于阈值时，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 45177 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 OBS数据读操作接口调用成功率小于阈值，会影响上层大数据计算业务的正常执行，导致某些计算任务的执行失败。 可能原因 OBS服务端出现执行异常或严重超时。 处理步骤 检查堆内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > OBS数据读操作接口调用成功率低于阈值”，查看“定位信息”中的角色名并确定实例的IP地址。 1. 选择“集群 > 待操作集群的名称 > 服务 > meta > 实例 > meta（对应上报告警实例IP地址）”。单击图表区域右上角的下拉菜单，选择“定制”，在“OBS数据读操作”中勾选“OBS数据读操作接口调用成功率”，单击“确定”，查看OBS数据读操作接口调用成功率，确定是否有接口调用成功率低于阈值。 是，执行步骤3。 否，执行步骤5。 2. 选择“集群 > 待操作集群的名称 > 运维 > 告警 > 阈值设置 > meta > OBS数据读操作接口调用成功率”，将阈值或平滑次数参数的值根据实际情况调小。 3. 观察界面告警是否清除。 是，处理完毕。 否，执行步骤5。

本章节主要介绍 备份与恢复简介 。 概述 MRS Manager提供对系统内的用户数据及系统数据的备份恢复能力，备份功能按组件提供，支持备份管理系统Manager的数据（需要同时备份OMS和LdapServer）、Hive用户数据、DBService中保存的组件元数据和HDFS元数据备份。 备份恢复任务的使用场景如下： 用于日常备份，确保系统及组件的数据安全。 当系统故障导致无法工作时，使用已备份的数据完成恢复操作。 当主集群完全故障，需要创建一个与主集群完全相同的镜像集群，可以使用已备份的数据完成恢复操作。 详见下表：根据业务需要备份元数据 备份类型 备份内容 OMS 默认备份集群管理系统中的数据库数据（不包含告警数据）以及配置数据。 LdapServer 备份用户信息，包括用户名、密码、密钥、密码策略、组信息。 DBService 备份DBService管理的组件（Hive）的元数据。 NameNode 备份HDFS元数据。 原理 任务 在进行备份恢复之前，需要先创建备份恢复任务，并指定任务的参数，例如任务名称、备份数据源和备份文件保存的目录类型等等。通过执行备份恢复任务，用户可完成数据的备份恢复需求。在使用Manager执行恢复HDFS、Hive和NameNode数据时，无法访问集群。 每个备份任务可同时备份不同的数据源，每个数据源将生成独立的备份文件，每次备份的所有备份文件组成一个备份文件集，可用于恢复任务。备份任务支持将备份文件保存在Linux本地磁盘、本集群HDFS与备集群HDFS中。备份任务提供全量备份或增量备份的策略，增量备份策略支持HDFS和Hive备份任务，OMS、LdapServer、DBService和NameNode备份任务默认只应用全量备份策略。 说明 任务运行规则： 某个任务已经处于执行状态，则当前任务无法重复执行，其他任务也无法启动。 周期任务自动执行时，距离该任务上次执行的时间间隔需要在120秒以上，否则任务推迟到下个周期启动。手动启动任务无时间间隔限制。 周期任务自动执行时，当前时间不得晚于任务开始时间120秒以上，否则任务推迟到下个周期启动。 周期任务锁定时无法自动执行，需要手动解锁。 OMS、LdapServer、DBService和NameNode备份任务开始执行前，若主管理节点“LocalBackup”分区可用空间小于20GB，则无法开始执行。 用户在规划备份恢复任务时，请严格根据业务逻辑、数据存储结构、数据库或表关联关系，选择需要备份或者恢复的数据。系统默认创建了一个间隔为24小时的周期备份任务“default”，支持全量备份OMS、LdapServer、DBService和NameNode数据到Linux本地磁盘。

共享云硬盘的优点 多挂载点：单个共享云硬盘最多可同时挂载给16台云主机，既可以挂载至天翼云云主机，也可以挂载至天翼云物理机，灵活部署不同类型的工作负载。 高性能：高IOPS (Input/Output Operations Per Second)，低时延，满足现代应用的需求。 共享云硬盘的规格性能 共享云硬盘的规格性能与普通云硬盘规格性能一致，详情请参见产品规格。 共享云硬盘的数据共享原理 共享云硬盘本质上就是将同一块云硬盘挂载到多台云主机上。由于每一台云主机均可以在任意时刻对该云硬盘任意区域的数据进行读写，如果这些云主机之间没有相互约定读写数据的规则，将会导致这些云主机读写数据时相互干扰，以致出现不可预知的错误。 想要确保云主机在访问过程中不互相干扰，确保读写次序和读写意义，必须通过一个集群来对读写进行集中管理与调度，因此用户在实际使用过程中务必确保自行部署集群系统，如企业应用中常见的Windows MSCS集群、Linux RHCS集群和CFS集群应用等。 如果使用共享云硬盘的过程中并没有通过集群进行管理，有可能导致以下问题： 读写冲突导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，这两台云主机无法感知对方的具体存储空间是否已被使用，可能导致存储空间的重复分配，最终导致空间分配冲突使得数据出错的情况。 比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，云主机A在某一时刻向云硬盘上的区域C和区域D写了文件系统的元数据，下一时刻云主机B又向区域E和区域D写了自己的元数据，则云主机A写入的数据将会被替换，随后读取区域D的元数据时即会出现错误。 数据缓存导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，其中一台假定为云主机A，另一台为云主机B，云主机A将读取来的数据记录在缓存区域中，云主机A上的其他进程读取数据时，可直接去读缓存区域的数据提高效率，而云主机B若修改了缓存区域的数据，云主机A是无法感知数据变化的，此时若继续读取缓存，则会导致读取的数据不一致情况。比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，两台云主机均将文件系统的元数据进行了缓存，此后用户在云主机A中创建了一个新的文件File，但云主机B并无法感知该修改，依旧从缓存中读取数据，导致用户在云主机B中无法看到文件File。 除此之外，还可能会导致存储性能下降，读写速度变慢，响应时间延长等问题。

功能 自研向量检索引擎集成了暴力检索、图索引（HNSW）、乘积量化、IVFHNSW等多种向量索引，支持欧式、内积、余弦、汉明等多种相似度计算方式，召回率和检索性能均优于开源引擎。能够满足高性能、高精度、低成本、多模态等多种应用场景及需求。 向量检索支持原生Elasticsearch的所有能力，包括分布式、多副本、错误恢复、快照、权限控制等；兼容所有原生Elasticsearch生态，包括集群监测工具cerebro，可视化工具kibana，实时数据采集工具logstash等；提供Python/Java/Go/C++等多种客户端语言支持。 约束限制 仅7.6.2版本的集群支持向量检索。 向量检索插件涉及较高的内存计算，内存要求比普通索引高，建议集群规格配置为内存优化型的计算规格。

接口功能介绍 服务器列表查询服务器统计数据 接口约束 无 URI GET /v1/host/totalCount 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 totalServerCount Integer 全部服务器数量 1 riskServerCount Integer 风险防护服务器数量 1 unGuardServerCount Integer 未防护服务器数量 1 freeGuardServerCount Integer 免费版防护服务器数量 1 freeQuotaCount Integer 免费版配额数量 1 enterpriseQuotaCount Integer 企业版配额数量 1 flagShipQuotaCount Integer 旗舰版配额数量 1 enterpriseServerCount Integer 企业版防护服务器数量 1 flagShipServerCount Integer 旗舰版防护服务器数量 1 activeAgent Integer 在线agent数量 1 offlineAgent Integer 离线agent数量 1

本小节介绍服务器安全卫士的购买开通步骤。 开通步骤 1.登录云平台，进入产品安全服务器安全卫士产品介绍页面，点击“立即开通”，进入订单开通页面。 2.选择规格、授权数量和订购时长，提交订单，购买成功后即可进入控制中心“服务器安全卫士”界面进行后续操作。 产品介绍 订单开通页面基础版 订单开通页面企业版 订单开通页面旗舰版

本节介绍了：CSI的常见问题。 存储FAQCSI 本文主要介绍天翼云存储插件cstorcsi，其安装及使用过程中常见的问题及分析流程。 安装失败 失败原因查看 在“插件”——“插件市场”——选择“cstorcsi”插件安装，完成相关参数配置后点击“安装”；安装详情可以在“插件”——“插件实例”中看到cstorcsi实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 常见问题 查阅日志报 “no matches for kind “PodSecurityPolicy” in version“policy/v1beta1” 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。该问题解决方案为： 1、将cstorcsi升级至3.2.0，按原参数安装即可； 2、如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 使用cstorcsi创建存储卷错误 通用分析流程 1、在“插件”——“插件实例”查看cstorcsi实例，运行是否异常； 2、进入“工作负载”——“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1、Can not get AK 该报错是由于cstorcsi安装过程中，未进行AK、SK配置。解决方案为：在”账号中心”——”安全设置”——”用户AccessKey”中查看AK、SK。 卸载cstorcsi后，选择重新安装该插件，在安装配置窗口中根据获得的 AK、SK值，分别填入AuthConfig.AK和AuthConfig.SK字段中，点击安装即可完成插件部署。 2、用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2、can not support RWX in filesystem mode for disk 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”——”持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。 如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。 目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3、failed to create disk volume, message: disk size should be in range [10G ,32T] 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为： failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。

本页面主要介绍数据库连接失败的相关场景和问题。 场景描述 数据库通过公网或内网连接，连接失败。 原因分析 主要从以下几个方面考虑： 1. 排除数据库实例异常 例如：关系数据库MySQL版系统故障，实例状态异常，或已退订。 2. （常见）使用正确的客户端连接方式 1. 内网连接需要实例与ECS云主机必须在同一区域、VPC内。 2. 公网连接需要购买或使用已有弹性IP，并对RDS实例绑定该弹性IP 。 3. 使用正确的SSL方式安全连接 界面SSL开关开启和关闭，分别对应不用的连接命令。例如： 1. 开关开启：mysql h 172.16.0.31 P 3306 u root p sslca/tmp/ca.pem 2. 开关关闭：mysql h 172.16.0.31 P 3306 u root p 4. 排除连接命令错误 例如：连接地址错误、端口参数配置错误、用户名和密码错误、SSL方式下命令错误。 5. （常见）排除网络不通 内网访问 1. 确认ECS云主机与关系数据库MySQL版实例是否在同一个区域，同一VPC内。 2. 检查安全组规则。 安全组外访问安全组内的关系数据库MySQL版实例时，需要为安全组添加相应的入方向规则。 3. 在ECS上测试是否可以正常连接到RDS实例地址的端口。 公网访问 1. 检查安全组规则。 安全组外访问安全组内的RDS实例时，需要为安全组添加相应的入方向规则。 2. 检查网络ACL规则。 3. 相同区域主机进行ping测试。 6. 白名单添加 未将客户端IP加入到白名单，导致无法连接数据库。 7. （常见）排除实例的连接数满的情况 实例连接数过多，可能会导致业务侧无法正常连接。 8. （常见）排除实例的磁盘满的情况 当实例处于“磁盘空间满”状态时，影响数据的正常读写操作。 9. 连接失败的常见报错 包含连接失败的常见报错，以及相应的解决方法。

本文主要为您介绍如何开启Cookie防篡改功能，以及如何配置Cookie防篡改参数。 网站域名接入Web应用防火墙后，您可以选择开启Cookie防篡改功能，开启后，WAF可通过Cookie中的字段对网页进行完整性校验保护。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持Cookie防篡改功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“Cookie防篡改”模块，可以选择开启/关闭防护。 7. 单击配置详情右侧的“前去配置”，进入Cookie防篡改配置页面，配置相关参数。 参数说明如下： 配置项 说明 防护模式 默认为“Cookie签名”，且不支持修改。 新增Cookie字段，字段值为待防护Cookie字段的签名，请求会对签名值进行完整性校验，若发生篡改则进行处置。 Cookie密钥 用于生成防篡改签名值的密钥（AES256），您可以自定义或者“快速生成密钥”。 Cookie兼容时间 生成配置后为了兼容之前未带Cookie签名的请求，可以设置生效时间。默认为当前时间。 IP校验 默认为“是”，表示除了对于防护Cookie值校验，同时也会对访问IP进行校验，同一Cookie值更换IP后无法通过校验。 修改为“否”，将仅对Cookie值进行校验。 Cookie字段名称 单击“新增Cookie字段”，新增一个Cookie字段。 HttpOnly：Cookie属性字段，用于避免客户端脚本访问该Cookie，勾选后可防止客户端脚本读取Cookie，防范XSS攻击。 Secure：Cookie属性字段，勾选后仅支持通过Https发送Cooike，防范采用Http协议发起的政击。 处置动作 选择WAF检测到篡改行为后，系统执行的动作。 拦截：拦截请求。 观察（仅记录）：仅通过日志记录请求，不进行拦截。 8. 单击“确认”，完成配置。

本文介绍函数运行时的Web标准API。 运行时提供以下标准化API，供边缘运行的用户函数使用。 JavaScript标准内置对象 JavaScript内置对象都可使用。但下面这些例外： 注意 eval()出于安全原因，不允许使用。 uneval()出于安全原因，不允许使用。 new Function出于安全原因，不允许使用。 值属性 这些全局属性返回一个简单值，这些值没有自己的属性和方法。 globalThis Infinity NaN undefined 函数属性 全局函数可以直接调用，不需要在调用时指定所属对象，执行结束后会将结果直接返回给调用者。 eval()出于安全原因，不允许使用。 uneval()出于安全原因，不允许使用。 isFinite() isNaN() parseFloat() parseInt() decodeURI() decodeURIComponent() encodeURI() encodeURIComponent() 基本对象 顾名思义，基本对象是定义或使用其他对象的基础。基本对象包括一般对象、函数对象和错误对象。 Object Function （new Function出于安全原因，不允许使用。） Boolean Symbol 错误对象 错误对象是一种特殊的基本对象。它们拥有基本的Error类型，同时也有多种具体的错误类型。 Error RangeError ReferenceError SyntaxError TypeError URIError AggregateError InternalError 数字和日期对象 用来表示数字、日期和执行数学计算的对象。 Number BigInt Math Date 字符串 用来表示和操作字符串的对象。 String RegExp 可索引的集合对象 这些对象表示按照索引值来排序的数据集合，包括数组和类型数组，以及类数组结构的对象。 Array Int8Array Uint8Array Uint8ClampedArray Int16Array Uint16Array Int32Array Uint32Array Float32Array Float64Array BigInt64Array BigUint64Array

本文介绍函数运行时的FetchEvent的定义与用法。 分配给运行时的HTTP请求的事件类型。详细定义请参见MDN官方文档FetchEvent。 上下文 javascript addEventListener("fetch", event > { event.respondWith(handleRequest(event)) }) 属性 event.request Request 触发FetchEvent的HTTP请求。 方法 当运行时脚本收到请求时，运行时将触发FetchEvent，然后触发事件类型为fetch事件侦听器进行处理。事件处理程序可以调用event对象的以下方法来进行控制： event.respondWith( response RequestPromise ) void 拦截请求并发送自定义响应。 必须调用respondWith()进行有效的响应，否则运行时会报错。 生命周期 当边缘接收到一个请求，该请求的URL映射到用户函数时，FetchEvent生命周期开始；这时运行时触发一个事件，并创建一个FetchEvent对象传递给运行时的第一个注册为fetch的事件处理程序。 事件处理程序可以使用respondWith()来拦截请求并允许用户发送自定义响应。 如果fetch事件处理程序未调用respondWith()，则运行时会将事件传递到下一个注册的fetch事件处理程序。 javascript addEventListener('fetch', (event) > { event.respondWith(handle(event)); }); async function handle(event) { // 1.异步发起一个fetch请求，但是我们不使用await，所以该请求会并行执行 fetch(" // 2.立刻发起回复。这个回复hello world发回给客户端时，前面发起的fetch可能没有执行完毕。 return "hello world"; } 相关参考 示例代码：返回HTML页面 示例代码：返回JSON内容