本节介绍安全与加速服务的安全报表模块，支持查看六个月内、最长时间跨度为一个月的已防护域名的安全报表。主要内容包括Web安全报表、DDoS安全报表、CC安全报表以及BOT安全报表，您可以在这里查看实时或历史的攻击防护情况。 Web安全报表 Web安全报表模块为用户统计Web安全相关的分析与统计，用户可在查询栏，指定要分析的域名及时间范围。 统计模块主要包括： 统计模块 说明 总请求数 统计已接入域名的业务总请求数 Web攻击次数 统计攻击命中Web安全防护策略的请求次数 拦截次数 统计攻击命中Web安全防护策略且处置动作为拦截的请求次数 攻击源个数 统计攻击源IP的个数 攻击网站数 统计受攻击的网站个数 Web攻防趋势 支持查看总请求数、总攻击次数、拦截次数、告警次数的访问趋势，并支持选择时间粒度为5分钟、1小时、1天，默认时间粒度为5分钟 攻击类型分布 支持查看域名遭受的攻击类型占比与攻击次数，并支持选择攻击类型，查看域名受到该类型的攻击次数排行 攻击IP 支持查看发起攻击次数最多的源IP排行，支持获取攻击IP、IP归属地、攻击次数、占比等字段信息 受攻击情况 支持查看受到攻击次数最多的域名及URL排行情况，支持获取域名/URL、受攻击次数、占比等字段信息 全国攻击分布 支持查看全国的攻击分布情况，不同颜色代表不同范围的攻击次数。并支持查看攻击地区排行情况

在创建和使用轻量型云主机之前，您需要先注册天翼云门户的账号并完成实名认证。 操作步骤 使用或注册天翼云账号。 1. 打开天翼云门户网站，单击“免费注册”。 2. 进入注册页面，依次填写“邮箱地址”、“登录密码”、“手机号码”，在“获取验证码”并填写后，单击“同意协议并提交” 按钮。 注意 如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 购买天翼云产品前需要为您的账号完成实名认证，具体步骤请参见会员服务实名认证。

本小节介绍Web应用防火墙自定义防护规则最佳实践。 网站接入云WAF防护后，您可以为其开启自定义防护策略功能，据HTTP请求头与请求内容匹配字段设置过滤条件并组合进行访问控制。 通过自定义防护规则，您可以通过对网站专有字段的识别，高精度地鉴别业务流量和攻击流量，进行精准防护。您也可以在发现0day漏洞或发生重点安全事件时依据攻击流量特征进行精准拦截，保护您的网站安全。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“自定义防护配置”页签。 5. 单击“新增规则”，进入新增自定义防护配置页面。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

二、AnythingLLM 服务部署（ docker 方式） 1. 获取 AnythingLLM docker image 文件。 由于国内无法访问 docker hub 网站，您需要修改 docker 的服务配置文件，添加国内可访问的源，以便能够顺利拉取 AnythingLLM docker image 文件。操作步骤如下： 向 docker 配置文件中添加国内可访问的 docker 镜像源 重启 docker 服务 拉取 AnythingLLM docker image plaintext Docker 守护进程（ daemon ）的配置文件。添加国内可访问镜像源。 sudo vi /etc/docker/daemon.json 重启 docker 服务 sudo systemctl restart docker 确认 docker 服务正常 sudo systemctl status docker 拉取 anythingllm 镜像 docker pull mintplexlabs/anythingllm daemon.json 文件添加的内容为： plaintext { "registrymirrors": [" " " } daemon.json 文件如下，仅供参考： 2. 启动 AnythingLLM 服务。 首先查看下载的 AnythingLLM 容器镜像的 tag 启动 AnythingLLM 服务 查看 AnythingLLM 服务状态 plaintext 查看当前的容器镜像列表 docker image list 启动 AnythingLLM 服务，下述 PROT 参数需要与第一部分开放的端口相对应 docker run d e PORT3001 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse addhosthost.docker.internal:hostgateway nethost v anythingLLM:/app/backend/data name anythingLLM restart always mintplexlabs/anythingllm:latest

本文为您介绍计算型云主机的特点、规格等内容。 计算型云主机独享宿主机的CPU资源，实例间无CPU争抢，没有进行资源超配，提供更接近物理服务器的性能。适用于对实例性能有一定要求的计算密集型业务场景。 在售规格：c8a、c8e、c8、c7、c6、c3 适用场景 计算型云主机适用于计算密集型业务等场景： 大型网站 电商营销 计算型弹性云主机特点 规格名称 计算 磁盘类型 网络 计算型c8a 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：AMD EPYC™ Genoa处理器 4.基频/睿频：2.6GHz/3.7GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1800万PPS 4.最大内网带宽：100Gbps 计算型c8e 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1400万PPS 4.最大内网带宽：40Gbps 计算型c8 1. CPU/内存配比：1:2/1:4 2.vCPU数量范围：2128 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：3000万PPS 4.最大内网带宽：100Gbps 计算型c7 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：296 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1100万PPS 4.最大内网带宽：40Gbps 计算型c6 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：264 3.处理器：第二代英特尔®至强®可扩展处理器 4.基频/睿频：3.0GHz/4.0GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：1000万PPS 4.最大内网带宽：40Gbps 计算型c3 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：232 3.处理器：英特尔®至强®可扩展处理器 4.基频/睿频：2.12.3GHz/ 3.24.0GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：260万PPS 4.最大内网带宽：15Gbps

本文主要介绍CoreDNS域名解析插件。 插件简介 CoreDNS域名解析插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 CoreDNS是由CNCF孵化的开源软件，用于CloudNative环境下的DNS服务器和服务发现解决方案。CoreDNS实现了插件链式架构，能够按需组合插件，运行效率高、配置灵活。在kubernetes集群中使用CoreDNS能够自动发现集群内的服务，并为这些服务提供域名解析。同时，通过级联云上DNS服务器，还能够为集群内的工作负载提供外部域名的解析服务。 该插件为系统资源插件，kubernetes 1.11及以上版本的集群在创建时默认安装。 目前CoreDNS已经成为社区kubernetes 1.11及以上版本集群推荐的DNS服务器解决方案。 CoreDNS官网： 开源社区地址： 说明 DNS详细使用方法请参见 。 约束与限制 CoreDNS正常运行或升级时，请确保集群中的可用节点数大于等于CoreDNS的实例数，且CoreDNS的所有实例都处于运行状态，否则将导致插件异常或升级失败。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件管理”，在右侧找到 coredns ，单击“安装”。 步骤 2 在安装插件页面，选择插件规格，并配置相关参数。 coredns插件参数配置 参数 参数说明 :: 插件规格 并发域名解析能力，请根据业务需求选择插件规格。 如选择“自定义qps”，CoreDNS所能提供的域名解析QPS与CPU消耗成正相关，请根据业务需求，合理调整插件实例数和容器CPU/内存配额。 实例数 选择上方插件规格后，显示插件中的实例数。 容器 选择插件规格后，显示插件容器的CPU和内存配额。 参数配置 parameterSyncStrategy：插件升级时是否配置一致性检查。 ensureConsistent：表示启用配置一致性检查，如果集群中记录的配置和实际生效配置不一致，插件将无法升级。 force：表示升级时忽略配置一致性检查。请您自行确保当前生效配置和原配置一致。插件升级完毕后，需恢复parameterSyncStrategy值为ensureConsistent，重新启用配置一致性检查。 stubdomains：存根域，您可对自定义的域名配置域名服务器，格式为一个键值对，键为DNS后缀域名，值为一个或一组DNS IP地址。 upstreamnameservers：上游域名服务器地址。 servers: coredns 1.23.1插件版本开始开放servers配置，用户可对servers做定制化配置，参见dnscustomnameservers，其中plugins为coredns中各组件配置（参考< $name $parameters { $configBlock } 示例： { "servers": [ { "plugins": [ { "name": "bind", "parameters": "{$PODIP}" }, { "name": "cache", "parameters": 30 }, { "name": "errors" }, { "name": "health", "parameters": "{$PODIP}:8080" }, { "configBlock": "pods insecurenfallthrough inaddr.arpa ip6.arpa", "name": "kubernetes", "parameters": "cluster.local inaddr.arpa ip6.arpa" }, { "name": "loadbalance", "parameters": "roundrobin" }, { "name": "prometheus", "parameters": "{$PODIP}:9153" }, { "configBlock": "policy random", "name": "forward", "parameters": ". /etc/resolv.conf" }, { "name": "reload" }, { "name": "log" } ], "port": 5353, "zones": [ { "zone": "." } ] } ], "stubdomains": { "acme.local": [ "1.2.3.4", "6.7.8.9" ] }, "upstreamnameservers": ["8.8.8.8", "8.8.4.4"] } coredns主zone默认plugin配置说明 plugin名称 描述 bind coredns 侦听的hostIP配置，建议保持当前默认值{$PODIP}。 cache 启用DNS缓存。 errors 错误信息到标准输出。 health coredns健康检查配置，当前侦听{$PODIP}:8080，请保持此默认值，否则导致coredns健康检查失败而不断重启 kubernetes CoreDNS Kubernetes插件，提供集群内服务解析能力。 loadbalance 轮转式DNS 负载均衡器， 在应答中随机分配 A、AAAA 和 MX 记录的顺序。 prometheus CoreDNS自身metrics数据接口, 默认zone侦听{$PODIP}:9153，请保持此默认值，否则普罗无法采集coredns metrics数据。 forward 不在Kubernetes 集群域内的任何查询都将转发到默认的解析器 (/etc/resolv.conf)。 reload 允许自动重新加载已更改的Corefile。 编辑 ConfigMap 配置后，请等待两分钟，以使更改生效。 步骤 3 完成以上配置后，单击“安装”。

使用或注册天翼云账号，并完成 实名认证。 1. 打开天翼云门户网站，单击“免费注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮，如下图所示。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 如需实名认证，请参考 会员服务 实名认证。 帐号余额不少于100元，避免迁移过程中欠费，导致迁移失败。云迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。具体请参见计费说明。 用户开通并使用云迁移服务。 1. 使用您的天翼云账号完成登录。 2. 在云迁移产品主页，单击“立即开通”按钮进入控制中心，如下图所示。

本文介绍了：云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

本文介绍分布式缓存服务Redis主备 分布式缓存Redis主备在单机的基础上，增加了备用节点以保证服务的高可用性与数据可靠性，部署架构采用主备双节点模式，主节点提供日常服务访问，备用节点提供数据高可用。当主节点发生故障不可用，系统将自动进行秒级切换至备节点，以保证服务的连续性。 架构示意图 说明 主备实例包含了master和replica节点。开启数据持久化功能，同时保持节点间数据同步。 DCS实时探测实例可用性，当检测主节点发生故障，备节点升级为主节点，恢复业务。 特点 数据同步 通过增量数据同步的方式，保持缓存实例主备节点的数据一致性。当节点出现故障，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 主备秒级自动切换 当主节点出现故障不可用，系统会自动在30秒内切换至备节点，备节点升级为主节点，恢复正常数据访问，无需用户操作，从而保证服务连续性。 多可用区部署 开通实例时支持多可用区部署，主备节点可部署在不同的AZ内，节点间电力与网络均物理隔离，当一个可用区不可用时，其他可用区中的节点可以继续提供服务，避免单点故障，进一步提高数据可靠性。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。请参考如下方法进行处理： − Java Chassis：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 对接微服务应用 > Java Chassis接入CSE”中的配置安全认证操作。 − Spring Cloud：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 对接微服务应用 > Spring Cloud接入CSE”中的配置安全认证操作。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤 5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 5 （可选）参考角色管理，根据业务需要，创建角色。 步骤 6 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 7 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 8 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 9 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

此小节介绍如何进行WAF防护策略的配置。 防护规则配置方式 为了简化您的配置过程，WAF提供了以下两种自定义防护规则的配置方式，请根据您的业务合理选择配置方式。 方式一：单个域名配置防护规则 此种方式适合域名业务较少或者域名业务适用的配置规则不相同的用户。 网站接入WAF防护后，您可以参照以下步骤，为网站配置防护策略。 步骤 说明 步骤一：添加防护策略 域名添加到WAF后，WAF会自动为该域名绑定一个防护策略，该策略中包含了WAF默认的防护规则，如果需要重新定制防护策略，可新增防护策略。 步骤二：为策略配置防护规则 防护策略是防护规则的合集，WAF支持的防护规则见下表。 步骤三：添加策略适用的防护域名 一条防护策略可以适用于多个防护域名，如果多个域名适用这条策略，可为策略添加适用的防护域名。 规则配置页面可配置的防护规则，如下表所示。 防护规则 说明 参考文档 ::: Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 配置Web基础防护规则 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 配置CC攻击防护规则 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 配置精准访问防护规则 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 配置IP黑白名单规则 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 配置地理位置访问控制规则 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 配置网页防篡改规则 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 配置网站反爬虫防护规则 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 配置防敏感信息泄露规则 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 配置全局白名单（原误报屏蔽）规则对误报进行忽略 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 配置隐私屏蔽规则

本页主要介绍临时关闭对象存储备份类型的原因、影响和建议。 原因 为了给您提供更好更完善的备份服务，备份类型为对象存储的备份架构需要进行升级，关系数据库PostgreSQL版将于2025年4月30日至备份架构完成升级期间，暂时关闭部分资源池订购备份类型为对象存储的选项。 影响 影响资源池：华东1、华北2、西南1、华南2、长沙42、南昌5资源池。 影响实例： 2025年4月30日至备份架构完成升级期间，新订购的实例将临时无法选择对象存储备份类型，您可选择云硬盘备份类型。 2025年4月30日之前订购的存量实例，可以继续使用对象存储实例相关功能。 影响功能： 由于暂时无法新订购对象存储实例，2025年4月30日至备份架构完成升级期间新订购的实例将暂时无法享受依赖对象存储相关功能，例如跨域备份恢复、审计日志下载等功能。 存量的对象存储备份实例依然可以使用跨域备份恢复、审计日志下载等相关功能。 建议 建议客户在新订购实例时，选择云硬盘的备份类型，备份的磁盘类型支持选择普通IO，高IO，超高IO（具体以界面显示为准），客户可以根据自身的业务需要进行选择。

本节介绍了Serverless集群的基于Nginx Ingress Controller的服务发布。 背景信息 当对服务进行版本更新升级时，需要使用到滚动升级、分批暂停发布、蓝绿发布以及灰度发布等发布方式。本文将介绍在Serverless集群中如何通过Nginx Ingress Controller来实现应用服务的灰度发布。 当对服务进行版本更新升级时，需要使用到滚动升级、蓝绿发布以及灰度发布等发布方式。 滚动更新：依次进行新旧替换，直到旧的全部被替换为止。 蓝绿发布：两套独立的系统，对外提供服务的称为绿系统，待上线的服务称为蓝系统，当蓝系统里面的应用测试完成后，用户流量接入蓝系统，蓝系统将称为绿系统，以前的绿系统就可以销毁。 灰度发布：在一套集群中存在稳定和灰度两个版本，灰度版本可以限制只针对部分人员可用，待灰度版本测试完成后，可以将灰度版本升级为稳定版本，旧的稳定版本就可以下线了，也称之为金丝雀发布。 前提条件 确保您已经创建Serverless集群集群，具体操作请参阅创建Serverless集群。 在集群中安装nginxingresscontroller插件，作为Ingress Controller，并通过Nginx对外暴露统一的流量入口。详细操作可参考安装插件。 实现原理 nginxingress是Kubernetes官方推荐的ingress controller，它是基于nginx实现的，增加了一组用于实现额外功能的Lua插件。 为了实现灰度发布，ingressnginx通过定义annotation来实现不同场景的灰度发布，其支持的规则如下： nginx.ingress.kubernetes.io/canarybyheader：基于 Request Header 的流量切分，适用于灰度发布以及 A/B 测试。当 Request Header 设置为 always时，则将请求切分到Canary Ingress定义的Service上；当 Request Header 设置为 never时，请求不会被发送到 Canary 入口，会将请求转发到常规Ingress定义的Service上；对于任何其他 Header 值，将忽略 Header，并通过优先级将请求与其他金丝雀规则进行优先级的比较。 nginx.ingress.kubernetes.io/canarybyheadervalue：要匹配的 Request Header 的值，用于通知 Ingress 将请求路由到 Canary Ingress 中指定的服务。当 Request Header 设置为此值时，它将被路由到 Canary 入口，将请求切分到Canary Ingress定义的Service上。该规则允许用户自定义 Request Header 的值，必须与上一个 annotation (即：canarybyheader）一起使用。 nginx.ingress.kubernetes.io/canarybycookie：基于 Cookie 的流量切分，适用于灰度发布与 A/B 测试。用于通知 Ingress 将请求路由到 Canary Ingress 中指定的服务的cookie。Cookie 值仅支持“always”和“never”。当 cookie 值设置为 always时，它将被路由到 Canary 入口；当 cookie 值设置为 never时，请求不会被发送到 Canary 入口；对于任何其他值，将忽略 cookie 并将请求与其他金丝雀规则进行优先级的比较。 nginx.ingress.kubernetes.io/canaryweight：基于服务权重的流量切分，适用于蓝绿部署，权重取值范围为[0100]，表示Canary Ingress所切分到的流量百分比。权重为 0 意味着该金丝雀规则不会向 Canary 入口的服务发送任何请求。权重为 100 意味着所有请求都将被发送到 Canary 入口。 以上策略的优先级顺序为： canarybyheader > canarybycookie > canaryweight 。 基于以上annotation的发布思路如下： 1. 在集群中部署新旧两套应用版本，一套是stable版本，一套是canary版本，两个版本都有自己的service。 2. 定义两个Ingress配置，一个正常提供服务，一个增加canary的annotation。 3. 待canary版本无误后，将其切换成stable版本，并且将旧的版本下线，流量全部接入新的stable版本。

本文将介绍个人实名认证和企业实名认证内容。 认证模式 天翼云实名认证分为个人实名认证和企业实名认证。不同的认证方式对应的短信服务产品功能有所区别。 个人实名认证：表示该账号使用者为用户个人。 企业实名认证：表示该账号为单位账号，单位可以是企业、政府（含企业、政府、事业单位、团体、组织）。 关于实名认证的更多信息，请参见实名认证。 说明： 如果您当前为个人实名认证账户，可以参见个人认证升级为企业认证帮助升级为企业实名认证账户。

本节介绍了DRDS版本回滚的操作场景、注意事项、操作步骤等内容。 操作场景 DRDS实例升级到新版本后，支持将内核版本回滚至最近一次升级前版本。 注意事项 回滚数据库内核版本会重启DRDS实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 版本回滚只支持回滚至最近一次升级前版本。 实例版本升级后如果进行过节点扩容，需将新扩节点做缩节点处理，再进行版本回滚。 操作步骤 步骤 1 登录分布式关系型数据库控制台。 步骤 2 在“实例管理”页面，选择指定的目标实例，单击实例名称。 步骤 3 在实例基本信息页面，单击“实例信息”模块的“版本回滚”。 步骤 4 在版本回滚弹窗中选单击“立即回滚”。 步骤 5 确认无误后单击“是”进行版本回滚。 步骤 6 版本回滚时，实例状态将变为“回滚中”。 步骤 7 版本回滚完成后，实例状态由“回滚中”变为“运行中”，版本将显示回滚后的版本号。 结束

步骤二：升级操作 灰度升级支持升级自动提交和升级待观察两种升级方式。您可以根据需要选择合适的升级方式。 升级自动提交方式 【方式一：单个实例版本升级】 1. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 2. 在“实例管理”页面，选择指定的实例，单击“操作”列的“更多 > 版本升级 ”。 3. 在“版本升级”界面，单击“灰度升级”。 4. 单击“升级自动提交”。 5. 选择目标版本，输入“confirm”，单击“确定”，确认升级。 6. 在“实例管理”页面，查看版本升级情况。 − 升级过程中，实例运行状态为“实例版本升级中”。 − 升级完成后，实例运行状态变为“正常”。 【方式二：批量实例版本升级】 1. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 2. 在“实例管理”页面，选择指定的实例，单击“批量版本升级”。 3. 在“批量版本升级”界面，单击“灰度升级”。 4. 单击“升级自动提交”。 5. 选择目标版本，输入“confirm”，单击“确定”，确认升级。 6. 在“实例管理”页面，查看版本升级情况。 − 升级过程中，实例运行状态为“实例版本升级中”。 − 升级完成后，实例运行状态变为“正常”。 升级待观察方式 【方式一：单个实例版本升级】 分布式版实例升级 a. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 b. 在“实例管理”页面，选择指定的实例，单击“操作”列的“更多 > 版本升级 ”。 您也可以单击实例名称，进入基本信息页面，在“数据库信息”模块的“数据库引擎版本”处单击“版本升级”。 c. 在“版本升级”界面，单击“灰度升级”。 d. 单击“升级待观察”。 e. 选择“本次升级分片数”和“目标版本”，输入“confirm”，单击“确定”，确认升级。 f. 在“实例管理”页面，查看版本升级情况。 i. 升级过程中，实例运行状态为“实例版本升级中”。 ii. 升级完成后，实例运行状态变为“实例版本升级待观察”。 g. 升级待观察方式下，待所有分片都升级完成，且业务测试正常后，可以提交升级。 在“版本升级”界面，选择“目标版本”，输入“confirm”，单击“提交升级”。 集中式版实例升级 a. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 b. 在“实例管理”页面，选择指定的实例，单击“操作”列的“更多 > 版本升级 ”。 您也可以单击实例名称，进入基本信息页面，在“数据库信息”模块的“数据库引擎版本”处单击“版本升级”。 c. 在“版本升级”界面，单击“灰度升级”。 d. 单击“升级待观察”。 e. 选择“升级可用区”和“目标版本”，输入“confirm”，单击“确定”，确认升级。 说明 每次升级可以根据实际情况选择进行单个AZ或者多个AZ升级。 f. 在“实例管理”页面，查看版本升级情况。 i. 升级过程中，实例运行状态为“实例版本升级中”。 ii. 升级完成后，实例运行状态变为“实例版本升级待观察”。 g. 升级待观察方式下，待所有AZ都升级完成，且业务测试正常后，可以提交升级。 在“版本升级”界面，选择“目标版本”，输入“confirm”，单击“提交升级”。 如果选择逐个AZ进行升级，则一个AZ下发升级完成后，还需参考b~f分别升级所有AZ，才可提交升级。 【方式二：批量实例版本升级】 1. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 2. 在“实例管理”页面，选择指定的实例，单击“批量版本升级”。 3. 在“批量版本升级”界面，单击“灰度升级”。 4. 单击“升级待观察”。 5. 选择目标版本，输入“confirm”，单击“确定”，确认升级。 说明 批量版本升级下，升级待观察方式默认升级实例的所有AZ或分片。 6. 在“实例管理”页面，查看版本升级情况。 − 升级过程中，实例运行状态为“实例版本升级中”。 − 升级完成后，实例运行状态变为“实例版本升级待观察”。 7. 升级待观察方式下，待所有分片或可用区分区都升级完成，且业务测试正常后，可以提交升级。 在“批量版本升级”界面，选择“目标版本”，输入“confirm”，单击“提交升级”。

本文帮助您了解对象存储静态页面设置及其相关的操作步骤。 操作场景 您可以通过ZOS控制台，把存储桶内的对象设置为静态网站托管，并且通过存储桶的静态网站域名来访问静态网站。 约束与限制 由于工信部合规要求，暂不公开开放。若您需要使用该功能，可通过提工单申请权限并提供自定义域名。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台“基础设置”页面，找到“静态页面设置”，点击“设置”。 5. 点击开启“状态”，输入“默认首页”和“默认404页”信息。 说明 默认首页的文件名，仅支持根目录下html 格式的文件，为空则不启用默认首页设置。 默认 404 页的文件名，仅支持根目录下 html、jpg、png、bmp、webp 格式的文件，为空则不启用默认 404 页设置。 6. 点击“保存”，完成静态页面设置。

本节为您介绍如何为计算加速型GPU云主机安装GRID驱动。 使用 PI7/P2V/P2VS/PI2这几种计算加速型 GPU云主机用作图形图像处理时，可以选择预装了GRID驱动的收费镜像，若已有镜像不能满足您的需求，您可自行向 NVIDIA 或其代理商的申请 License，并配置 License 服务器和安装 GRID driver。 一 、申请license 1.打开英伟达企业账户注册网站，注册账号并申请license。 2.审批通过后，会邮件通知到您，您可用该账号进行登录。 3.打开英伟达企业账号登录网站，输入账号和密码，进入“Dashboard” 页面，如下图： 二 、软件下载 1.选择左侧导航栏中的 SOFTWARE DOWNLOADS，进入 “Software Downloads” 页面。 选择最新的 NVIDIA Virtual GPU SoftWare 版本，本文以 GRID 11.13 版本为例。如下图所示： 2.创建一台普通的云主机，作为 License 服务器，最小规格4核，8G内存，50G硬盘。 选择页面右侧NonDriverdownloads，单击所需下载的 License Server 软件。本文以下载 2023.04 Legacy License Server (Flexera) 2023.04 for Windows 为例，如下图所示： 3.将 License Server 软件安装至步骤2创建的云主机，详情请参见GRID许可证服务器的用户指南 。在完成安装后获取该 License 服务器的 MAC 地址。 4.选择左侧导航栏中的 LICENSE SERVERS，进入 “License Servers” 页面。在弹出的 “Create License Server” 窗口中填写相关信息注册新的 License Server。 其中 MAC Address 请填写 步骤3获取的 License 服务器 MAC 地址。 5.在select feature中选择对应的license和数量。 6.成功添加后，可在 “License Servers” 页面查看授权该 License 服务器的状态，包含数量和 License 过期时间。 7.选择action>download下载用于该 License Server 的 License 授权文件。

第1章 服务概述 高可用与故障演练服务包括高可用和故障演练两部分，高可用是指在故障发生时快速切换业务，确保业务的连续性和可用性；故障演练是模拟故障或异常情况的场景，提升故障响应能力，缩短故障恢复时间。 第2章 应用场景 关键业务系统：对于关键业务系统，如电子商务平台、金融交易系统或医疗健康应用，高可用架构是必要的，确保系统在故障发生时能够持续提供服务，避免业务中断和数据丢失。 高并发业务系统：当系统面临大规模用户访问的情况，如热门活动、促销活动或突发事件引起的用户涌入，高可用架构能保证系统承受高负载并保持稳定运行，避免性能下降或崩溃。 更新与升级前演练：在进行系统更新、升级或部署新功能时，通过故障演练可以模拟各种故障情况，验证系统在更新过程中的稳定性和可靠性，确保不会对实际业务产生不可预见的影响。 灾难恢复演练：针对自然灾害、硬件故障或人为错误等灾难性事件，通过故障演练可以测试灾难恢复计划和容灾方案的有效性，确保在灾难发生时能够快速恢复系统并保持业务连续性。

本文主要介绍IP地址组。 IP地址组是多个IP地址的集合，用来统一管理具有相同安全要求或需要频繁修改的IP地址。 对于需要使用黑名单和白名单，在监听器上设置访问控制策略的用户，开启白名单或黑名单时必须选择一个IP地址组，从而实现允许或者限制IP地址组中的IP访问负载均衡的监听器。 同一个IP地址组，最多可以关联50个监听器。目前IP地址组既支持IPv4地址又支持IPv6地址。 天翼云部分二类节点正在升级，以支持IP地址组能力，敬请用户随时关注。 创建IP地址组 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“IP地址组”界面，单击“创建IP地址组”。 5. 配置IP地址组参数。 IP地址组参数说明表 参数 说明 样例 名称 IP地址组的名称。 ipGroup01 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 IP地址 需要通过白名单或黑名单进行访问控制的IP地址。每行一个IP地址或一个网段，以回车结束； 每个IP地址或者网段都可以用“”分隔添加备注，如“192.168.10.10丨ECS01”， 备注长度范围是0到255字符，不能包含<>；每个IP地址组最多可添加300个IP地址和网段。 说明：如果IP地址组未包含任何IP地址，当访问控制选择白名单时，则对应的负载均衡监听器禁止任何IP地址访问。 10.168.2.24 10.168.16.0/24 描述 IP地址组相关信息的描述说明。 6. 确认参数配置，单击“确定”。

产品优势 环境统一：通过镜像，实现应用系统的统一部署与升级，提高运维效率，保证应用环境的一致性。 简化运维：镜像服务提供统一的镜像自助管理平台，简化维护的复杂度。

在使用公共算力服务之前,您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册,如果您拥有天翼云的账号,可登录后直接使用公共算力服务。 操作步骤 1.打开天翼云门户网站，点击【免费注册】。 2.在注册页面，可选择通过短信注册或账号注册。通过短信注册请填写“手机号码”，并点“获取验证码”，如1分钟内手机未收到验证码，请再次点击“获取证码”按钮，最后勾选同意协议，点击“注册”按钮。通过账号注册请填写“登录名”、“登录密码”、“手机号码”，并点“获取验证码”，如1分钟内手机未收到验证码，请再次点击“获取证码”按钮，最后勾选同意协议，点击“注册”按钮。 3.注册成功后，即可体验天翼云服务。 4.如需实名认证，请参考账号中心实名认证。

本文介绍网站提示证书存在风险的相关场景及解决方案。 背景说明 网站已经在天翼云CDN控制台开启了HTTPS功能，并配置对应证书，但是用户使用浏览器访问该网站时提示证书存在风险。本文主要介绍可能的原因及应对方案。 可能原因及方案 场景一：域名配置的对应证书已过期 处理方式：您可以前往CDN控制台更换新的证书。具体操作时，可先上传新的证书，再在【域名管理】中的【HTTPS配置】中选择新证书对应的备注名，单击【提交保存】即可。详情请见：新增证书，HTTPS配置。 场景二：配置了自签名HTTPS证书 自签名证书是由个人或企业自行签署的证书，而不是由受信任的证书机构签发的证书。此类证书容易被伪造、安全系数低、有效期不稳定，各大浏览器基本都不信任此类证书。 处理方式：通过正规证书机构购买相应证书，购买后到CDN控制台重新上传证书并关联对应域名。 场景三：系统时间错误 请检查浏览器系统时间是否准确。如果系统时间不在ssl证书开始截止日期之内，则可能导致浏览器提示ssl证书过期或不生效。 处理方式： 更新浏览器本地系统时间。 场景四：使用了过低的TLS版本 处理方式：天翼云默认开启了TLS 1.0/1.1/1.2/1.3，目前公认的安全性更高的协议是TLSv1.2和TLSv1.3，您可选择关闭TLS 1.0/1.1，只开启 TLSv1.2 和 TLSv1.3。

本文主要介绍弹性负载均衡的产品类型及其区别。 产品介绍 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。 产品类型 弹性负载均衡服务提供独享型负载均衡 和共享型负载均衡两种类型的实例供用户选择。 表弹性负载均衡产品类型对比 类型 独享型 共享型 部署模式 负载均衡实例资源独享，实例的性能不受其它实例的影响，您可根据业务需要选择不同规格的实例。 集群部署，同资源池实例资源共享，实例的性能会受其它实例的影响。 实例规格 提供多种规格供选择，不同规格的实例提供差异化的性能指标。 不支持选择实例规格。 性能 当选择多个可用区后，对应的性能规格（新建连接数/并发连接数等）加倍。 例如：单实例最大支持2kw并发，那么双AZ就支持4kw并发。 不提供性能保障。 可用区 支持自定义可用区。 对于公网访问，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上，多个AZ的ELB性能加倍。 对于内网访问： 当从创建ELB的AZ发起访问时，流量将被分配到本AZ中的ELB上，当本AZ的ELB不可用时，容灾到创建的其他AZ的ELB上。 如果本AZ的ELB正常，但是本AZ的流量超过规格，业务也会受影响，内网场景要考虑客户端访问的均衡性。内网流量使用率建议通过AZ粒度监控观察是否超限。 当从未创建ELB的AZ访问时，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上。 对于云专线访问，流量优先分配到专线对接的AZ下部署的ELB，否则分配到其他AZ下的ELB。 对于客户端跨VPC访问，流量优先分配至源VPC子网所在AZ部署的ELB，否则分配到其他AZ下的ELB。 不涉及。 收费 按实例规格计费。 实例免费。 产品定位 具备强大的四层和七层处理能力，支持多种应用协议和高级转发策略。 基础的四层与七层处理能力。 推荐场景 大流量高并发的业务场景，如大型网站、云原生应用、车联网、多可用区容灾应用等。 流量负载较低的业务场景，如小型网站和普通应用。

本节介绍了创建并通过MySQLFront连接TaurusDB实例的相关内容。 TaurusDB实例创建完成后，可以先登录到Windows弹性云主机，在ECS上安装MySQLFront（以MySQLFront为例），然后通过MySQLFront使用内网IP连接到实例。 MySQLFront是一个用于MySQL数据库的Windows前端管理工具。允许用户通过图形界面与MySQL数据库进行交互，包括连接到数据库、执行SQL命令、管理数据表和记录等。 操作流程 操作步骤 说明 步骤1：创建TaurusDB实例 选择TaurusDB的基础配置、高级配置信息，购买数据库实例。 步骤2：创建ECS 购买Windows ECS，并确认ECS实例与TaurusDB实例在同一区域、同一VPC内。 步骤3：测试连通性并安装MySQLFront 测试ECS到TaurusDB实例内网IP和端口的网络连通性，并在ECS上安装MySQLFront。 步骤4：使用MySQLFront连接实例 使用MySQLFront通过内网IP和端口连接TaurusDB实例。 步骤1：创建TaurusDB实例 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 TaurusDB”。 步骤 4 在“实例管理”页面，单击“创建数据库实例”。 步骤 5 在“创建数据库实例”页面，填写并选择实例相关信息后，单击“立即创建”。 表 基本信息 参数 描述 计费模式 选择“按需计费”。 区域 实例所在区域。 须知 不同区域的资源之间内网互不相通。请选择靠近您业务的区域，可以降低网络时延，提高访问速度。 实例创建成功后不能更换区域，请谨慎选择。 实例名称 实例名称长度最小为4个字符，最大为64个字符且不超过64个字节（一个中文字符占用3个字节），必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 创建多个数据库实例时，名称自动按序增加4位数字后缀。例如输入instance，从instance0001开始命名；若已有instance0010，从instance0011开始命名。 批量创建的实例名称长度在4个到59个字节之间，可以包含字母、数字、中划线、下划线或中文（一个中文字符占用3个字节），不能包含其他特殊字符。 数据库引擎版本 TaurusDB V2.0。 实例类型 支持集群版和单机版。 集群：集群版包含1个主节点和最少1个最多15个只读节点。主节点处理读写请求，只读节点仅处理读请求。主节点如果发生故障，只读节点会自动切换为主节点，保证数据库的高可用。适用于中大型企业的生产数据库，覆盖互联网、政企税务、银行保险等行业。 单机：单机版只有1个主节点，没有只读节点。单机版无需处理多个节点之间的同步协作，易满足ACID事务需求。适用于个人学习、微型网站以及中小企业的开发测试环境。 可用区类型 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 单可用区：主节点和只读节点部署在同一个可用区。 多可用区：您选择主可用区，创建的只读节点会均匀分布在各可用区之间，保证高可靠性。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期不可修改。 表 规格与存储 参数 描述 性能规格 不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 CPU架构 CPU架构分为X86和鲲鹏。 节点数量 每个实例默认只有1个主节点，其余节点为只读节点，单次创建最多可批量申请9个只读节点。 实例创建成功后，您可根据业务需要，添加只读节点，具体请参见创建只读节点。 存储设置 您的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 表 网络设置 参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离，以提高网络安全性。 您需要选择所需的虚拟私有云和子网。如果没有可选的虚拟私有云，TaurusDB会为您分配一个默认的虚拟私有云（defaultvpc），您也可以使用已有、新建VPC和子网。 须知 TaurusDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表 数据库配置 参数 描述 管理员账户名 数据库的登录名默认为root。 管理员密码 所设置的密码，长度为8~32个字符，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符~!@

变更配置 域名配额扩容：当您的业务需求增加，可在计费周期内“扩容”域名的扫描配额包。支持扩容 专业版配额 、高级版配额 以及 企业版配额 。不支持多个版本同时存在。 专业版升级为高级版：当您是专业版用户时，如果需要将专业版扫描配额包中的二级域名配额全部升级为一级域名配额，可以直接将专业版 升级为 高级版 。 退订 购买漏洞扫描服务的扫描配额包后，如需停止使用，请到费用中心>订单管理>退订管理页面，选择对应的订单进行退订操作。 续费 扫描配额包到期后，您可以进行续费以延长扫描配额包的有效期，也可以设置到期自动续费。 到期与欠费 包周期资源开通成功后，如果没有按时续费，平台会提供一定的保留期。 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

迁移方案的关键操作 配置“ 同名文件是否覆盖 ”选项：创建任务时，配置按 最后修改时间（Lastmodified） 的处理方式，来进行迁移。 根据源端业务的增量情况，多次使用“开始”操作启动迁移任务进行增量的迁移。 操作流程 该方案通过多次迁移实现对源端增量数据的迁移，具体流程如下： 准备工作 注册天翼云账号 使用对象存储迁移服务ZMS，您需要先注册天翼云门户的账号。本部分将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用对象存储迁移服务。 1. 打开天翼云门户网站，点击“ 注册 ”。 2. 在注册页面，请填写“ 邮箱地址 ”、“ 登录密码 ”、“ 手机号码 ”，并点击“ 同意协议并提交 ” 按钮，如1分钟内手机未收到验证码，请再次点击“ 免费获取短信验证码 ”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 开通天翼云对象存储 登录您的天翼云账号即可使用对象存储迁移服务ZMS，但天翼云对象存储ZOS需要您单独开通，具体操作可参看开通对象存储服务。

本节介绍了云容器引擎的最佳实践：某量子云平台迁移项目。 项目概述 某量子云平台对外提供量子计算机实验/实操服务，其应用架构由他云迁移到天翼云，通过天翼云实现应用组件化和容器化，通过K8S统一部署和管理业务。 该平台包括官网、博客网站、web管理后台等系统。 容器支撑方案 迁移使用的容器架构图如下： 研发迭代更高效：使用crs镜像服务一键部署应用 便于扩容快弹性高：使用HPA弹缩pod 解决内外网互连互通：使用Nginx+Spring GateWay实现内外网流量隔离和路由转发 底层资源占用少：使用csi插件动态挂载sfs存储 助力运维更便捷：使用云日志插件采集容器日志 最终效果 2023年6月迁移至天翼云试运行，12月已付费容器并运营至今，现业务稳定运行。

防护模块配置 WAF支持多种威胁防护模块，防护模块概述如下： 防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

如果让客户端和云存储网关服务端断开连接，应如何操作？ 对于 Windows 客户端，需要先进行脱机才能断开连接，先断开备连接，再断开主连接，否则可能丢失数据。 对于 Linux 客户端，需要先执行sync命令才能断开连接，否则可能丢失数据。 部署了云存储网关后，集群内的服务器 IP地址变更会有什么影响？ 部署云存储网关后： 如果云存储网关集群内服务器通信使用的IP地址变更，云存储网关服务不可用。 如果云存储网关服务器与客户端连接的IP地址变更，则会导致客户端无法连接到服务器。客户端需要重新进行discovery、login操作，才能与云存储网关连接。 能否将文件存在云存储上，然后分配给云电脑和云主机？ 可以。云存储网关支持连接云电脑和云主机。 云存储网关升级失败了该如何处理？ 目前云存储网关的升级均由运维工程师处理，且支持滚动升级，用户无需干预。 如何登录本地云存储网关控制台？ 设置防火墙，开放web端口，默认443端口。安装的时候也可以及自行调整web端口号。 在浏览器中，输入访问地址https:// 云存储网关IP地址 : web端口 。 云存储网关和OOS的之间的数据传输是怎样的？ 对于云存储网关，后端以切片形式上传。云存储网关会根据数据热度做读缓存。当访问的是冷数据，如果本地没有缓存数据，则直接访问OOS，此时就会有下载动作，对应产生下行流量。

名称 说明 ContentDisposition 为请求的对象提供一个默认的文件名赋值给该对象，当下载对象或者访问对象时，以默认文件名命名的文件将直接在浏览器上显示或在访问时弹出文件下载对话框。 例如：元数据名称选择为“ContentDisposition”，元数据值填写为“attachment;filename"testfile.xls"”，当通过链接访问设置了该元数据的对象时，会直接弹出一个对象下载的对话框，且对象名称会被修改为“testfile.xls”。详情请参见HTTP协议中关于ContentDisposition的定义。 ContentLanguage 说明访问者希望采用的语言或语言组合，以根据自己偏好的语言来定制。详情请参见HTTP协议中关于ContentLanguage的定义。 WebsiteRedirectLocation 为对象提供重定向功能，重定向到其他对象或者外部的URL。重定向功能通过静态网站托管实现。 例如，可根据如下步骤实现对象重定向功能。 1. 为桶“testbucket”根目录下的对象“testobject.html”设置元数据，元数据名称选择为“WebsiteRedirectLocation”，元数据值填写为“ 2. 在桶“testbucket”中配置静态网站托管，将该桶中的对象“testobject.html”设置为静态网站托管的“默认首页”。 3. 当通过静态网站托管页面上的“访问地址”访问对象“testobject.html”时，会直接重定向访问 ContentEncoding 指定对象被下载时的内容编码格式，可以设置如下类型： 标准定义：compress、deflate、exi、identity、gzip、pack200gzipl 其他：br、bzip2、lzma 、peerdist、sdch、xpress、xz ContentType 设置对象的文件类型。详见对象元数据ContentType介绍。