本页介绍天翼云TeleDB数据库关联查询使用分布键关联的最佳实践。 多表关联时，通过explain查看执行计划，查看SQL语句是否使用到分布键（前面已介绍），查看SQL关联是否使用到了分布键。 如果两表关联都使用到了分布键，那么两表关联可以在dn节点内完成，不需要在dn节点之间交互数据；如果其中一张表没有用分布键，那么两表关联不能在dn节点内完成，该表需要在dn节点之间交互数据；如果两张表都没有使用分布键，那么两张表都需要在dn节点之间交互数据。 两表关联时，应优先使用两表的分布键关联，尽量保证高频并发的SQL都用到了分布键关联；其次至少有一张表用到了分布键，也可以减少一次数据重分布；两张表都没有用到分布键的场景应尽量避免。同时，两表关联时如果只能有一个表带分布键，那么更大的表、或查询结果集更大的表优先使用到分布键，让小一点的表去重分布数据。 在执行计划中，如果DN之间有数据重分布，那么执行计划中会有这样的关键字Distribute results by S: f1，这里表示按f1进行数据重分布。 例如，teledb1的分布键为f2，teledb2的分布键为f1，下面的SQL，两表关联时teledb1没有用到分布键，两表关联不能在dn节点内完成，需要dn节点之间发起数据交互（重分布），teledb1在完成表扫描后发起了按f1字段重分布的动作，对应执行计划中的Distribute results by S: f1。 teledb explain select teledb1. from teledb1,teledb2 where teledb1.f1teledb2.f1 ; QUERY PLAN Remote Subquery Scan on all (dn001,dn002) (cost29.80..186.32 rows3872 width40) > Hash Join (cost29.80..186.32 rows3872 width40) Hash Cond: (teledb1.f1 teledb2.f1) > Remote Subquery Scan on all (dn001,dn002) (cost100.00..158.40 rows880 width40) Distribute results by S: f1 > Seq Scan on teledb1 (cost0.00..18.80 rows880 width40) > Hash (cost18.80..18.80 rows880 width4) > Seq Scan on teledb2 (cost0.00..18.80 rows880 width4) (8 rows) 例如下面的SQL，teledb1和teledb2关联时都用到了分布键，那么两表关联可以在dn节点内完成，不需要在dn节点之间交互数据。 teledb

介绍实时日志查询的相关操作。 适用场景 媒体存储提供实时日志查询，通过此功能，用户可以自助查询通过API或SDK操作对象存储的相关日志。 实时日志查询时提取日志文件中重要部分字段，按照列表展示，用户能按照指定字段检索，提高查看日志的效率。 前提条件 已注册天翼云账号。 已开通媒体存储的对象存储能力。 登录媒体存储控制台。 使用说明 目前实时日志查询为内测功能，如需使用，可联系客户经理或提交工单申请。 实时日志查询记录的日志为通过控制台、API或SDK进行的接口操作。 实时日志查询仅支持查询7天内历史日志，如有其他日志查询以及日志下载需求，请使用日志存储功能。具体可参考 日志存储 。 操作步骤 1. 登录媒体存储控制台后，进入【日志查询实时日志查询】菜单页面，默认查询最近24小时的操作日志。 2. 支持通过资源池、存储桶名、操作类型、状态码、资源标识以及时间查询日志记录。 实时日志记录说明 通过实时日志查询，您可查询以下接口的相关操作记录： 接口能力 接口英文名 列举桶列表 listBuckets 创建桶 putBucket 删除桶 deleteBucket 获取对象列表 listObjects 获取桶信息 getBucketInfo 返回存储桶所在的区域 getBucketLocation 设置桶控制权限 putBucketAcl 获取桶控制权限 getBucketAcl 配置桶生命周期 putLifecycle 获取桶生命周期配置 getLifecycle 删除桶生命周期配置 deleteLifecycle 开启桶版本控制 putVersioning 获取桶版本控制 getVersioning 列举桶版本控制 listVersions 授权桶策略 putPolicy 获取桶策略 getPolicy 删除桶策略 deletePolicy 开启桶静态网站托管 putWebsite 获取桶静态网站托管 getWebsite 删除桶静态网站托管 deleteWebsite 开启桶默认加密 putEncryption 获取桶默认加密 getEncryption 删除桶默认加密 deletetEncryption 设置桶标签 putBucketTag 获取桶标签 getBucketTag 删除桶标签 deleteBucketTag 设置桶跨域配置 putCors 获取桶跨域配置 getCors 删除桶跨域配置 deleteCors 预检options请求 options 上传对象 putObject 拷贝对象 copyObject 追加上传对象 AppendObject 基于表单上传对象到指定的桶。 postObject 下载对象 getObject 删除对象 deleteObject 批量删除对象 deleteMultipleObjects 获取对象元数据 headObject 获取对象元数据 getObjectMeta 初始化分片上传任务 initiateMultipartUpload 上传分片 uploadPart 合并分片 completeMultipartUpload 拷贝分片 copyUploadPart 取消分片任务 abortMultipartUpload 列举分片任务 listMultipartUploads 列举某个分片任务中已成功上传的分片 listParts 设置对象权限控制 putObjectAcl 获取对象权限控制 getObjectAcl 设置对象标签 putObjectTag 获取对象标签 getObjectTag 删除对象标签 deleteObjectTag

本章节介绍数据迁移的计费说明。 目前在线迁移服务暂不收取服务费用，但因迁移数据时会产生数据的上传下载以及API请求，所以会产生对应的下行流量费用以及API请求次数费用。 下行流量说明 数据迁移时，服务会将数据先从源端下载，再将数据上传至媒体存储，这个过程会产生源端的下行流量费用，流量由已迁移数据的实际大小决定，数据上传至媒体存储不收取费用。 1.如果源端为第三方云厂商，数据迁移时产生的下行流量费用由第三方云厂商收取。 2.如果源端为媒体存储，数据迁移时产生的下行流量费用由天翼云收取。 API请求次数说明 以下说明基于单个文件的请求次数 场景 源端 目的端 对于源地址中与目的地址不同名的文件 1. 迁移前对比数据，确认对象是否存在和对比需要一次head请求 2. 迁移数据需要一次get请求 1. 迁移前对比数据，确认对象是否存在和对比需要一次head请求 2. 迁移数据需要一次put请求 3. 迁移完成后校验数据需要一次head请求 对于源地址和目的地址的同名文件，并且文件需要迁移至目的端 1. 迁移前对比数据，确认对象是否存在和对比需要一次head请求 2. 迁移数据需要一次get请求 1. 迁移前对比数据，确认对象是否存在和对比需要一次head请求 2. 迁移数据需要一put请求 3. 迁移完成后校验数据需要一次head请求 对于源端和目的端的同名文件，并且文件不需要迁移至目的端 迁移前对比数据，确认对象是否存在和对比需要一次head请求 1. 迁移前对比数据，确认对象是否存在和对比需要一次head请求 2. 迁移完成后校验数据需要一次head请求 注意： 如果迁移文件大于或等于100MB，则迁移数据时会将文件进行分片后再上传，单个分片大小为50MB，此时迁移数据的请求数根据迁移数据大小决定。如果进行了分片处理，在分片之前会有一个post请求，分片上传完毕之后合并分片会有一个post请求。 例如：大小为150M的文件会被分成三片，迁移时源端请求数与之前一致，数据迁移过程中目的端会产生三次put请求和两次post请求，因此目的端整个流程一共有两次head请求，两次post请求和三次put请求。 采用传入文件或者文件列表形式的方式进行迁移，每个object会多产生一次head请求（为了验证传入的文件是否存在）。

本小节介绍处理容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 说明 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面。 告警事件状态说明 告警事件状态 告警事件状态说明 存在告警的服务器 展示存在告警容器的数量。 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 4、 处理告警事件。 告警事件展示在“容器安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计。 批量处理勾选的告警 a.任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如表76所示。 处理单个告警 a.选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如表所示。 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。

本页介绍天翼云TeleDB数据库的内核架构。 分布式数据库方案架构如图所示。 Global Transaction Manager(简称 GTM)，是全局事务管理器，负责全局事务管理，包括管理分布式事务和管理全局对象。GTM 上不存储业务数据。 管理分布式事务‌：GTM负责协调和管理分布式环境中的事务，确保事务的原子性、一致性、隔离性和持久性（ACID属性），从而保证数据的一致性和完整性。 管理全局对象‌：除了管理分布式事务本身，GTM还负责管理全局对象，如序列等，这些对象在分布式环境中需要跨多个节点进行协调和管理。 Coordinator（简称 CN）是协调节点，主要负责数据的分发和查询规划。协调节点需对外提供接口，确保高效处理和分发数据。协调节点是分布式系统中的一个组件，通过任务调度和数据分发来协调整个数据处理流程，提高处理速度和可靠性。它们还负责监控工作节点的状态和进度，确保数据的高效处理和分析。在大数据处理中，协调节点作为主节点，分配任务给工作节点，确保负载均衡和系统的容错能力。 任务调度‌：协调节点负责将任务分配给可用的工作节点，根据负载均衡策略和节点的可用性确定任务的分配方式。 数据分发‌：协调节点将输入数据分发给工作节点，实现数据并行处理，提高处理速度。 状态监控‌：协调节点监控工作节点的状态和进度，及时检测节点故障或任务失败，并采取相应的措施，如重新分配任务或启动备用节点。‌ Datanode（简称 DN）是数据节点，主要负责存储数据，执行协调节点分发的业务请求。‌它包含数据库的实际数据文件和索引文件，并接收来自应用程序或其他节点的数据读写请求，负责执行实际的数据存储和检索操作。数据节点以分布式方式组织，每个节点存储部分数据，通过分片(Sharding)技术来实现数据的水平扩展和负载均衡。这样的设计使得分布式数据库系统能够支持大规模的数据存储和高可用性，同时确保数据的均匀分布，避免单个节点成为瓶颈，从而提高系统的整体性能和可靠性。 说明 各个数据节点可以部署在不同的物理机上，也支持同物理机部署多个数据节点，注意互为主备数据节点不建议部署在同物理主机上。数据节点存储空间彼此之间独立、隔离，是标准的无共享存储拓扑结构。并且数据节点之间可以相互通信，互相交换数据。‌ TeleDB管控资源全生命周期管理。 说明 在接口上，TeleDB 支持 JDBC、ODBC、shell、C、Python、PHP、.NET 等大多数语言的 API。

自动轮换密钥 KMS会根据设置的轮换周期（默认365天）自动轮换密钥，系统自动生成一个新的密钥B，并替换当前使用的密钥A。自动轮换密钥只会更改主密钥的密钥材料，即加密操作中所使用的加密材料。不管密钥材料有没有变更或变更了多少次，该主密钥仍是相同的逻辑资源。主密钥的属性（密钥ID、别名、描述、权限）不会发生变化。 自动密钥轮换具有以下特点： 为现有的自定义密钥开启密钥轮换后，KMS自动为该自定义密钥生成新的密钥材料。 自动密钥轮换对主密钥所保护的数据无效。它不会轮换主密钥生成的数据密钥，也不会对任何受主密钥保护的数据重新加密，并且它无法减轻数据密钥泄露的影响。 自动密钥轮换工作原理 说明 KMS会保留与该自定义密钥关联的所有版本的自定义密钥。这使得KMS可以解密使用该自定义密钥加密的任何密文。 加密数据时，KMS会自动使用当前最新版本的自定义密钥来执行加密操作。 解密数据时，KMS会自动使用加密时所使用的自定义密钥来执行解密操作。 密钥支持的轮换方式 密钥轮换方式如下表： 密钥的来源或状态 支持的密钥轮换方式 默认密钥 不支持密钥轮换。 自定义密钥 仅支持手动轮换密钥。 对称密钥 支持自动轮换密钥和手动轮换密钥。 非对称密钥 仅支持手动轮换密钥。 已禁用的主密钥 禁用主密钥后，KMS不会对它进行轮换。但是，密钥轮换状态不会发生改变，并且在主密钥处于禁用状态时不能对其进行更改。重新启用主密钥后，如果已禁用的自定义密钥已超过轮换周期，KMS会立即轮换。如果已禁用的自定义密钥少于轮换周期，KMS会恢复之前的密钥轮换计划。关于禁用密钥的信息，请参见禁用密钥。 计划删除的主密钥 对于计划删除的主密钥，KMS不会对它进行轮换。如果取消删除，将恢复之前的密钥轮换状态。如果计划删除的自定义密钥已超过轮换周期，KMS会立即轮换。如果计划删除的用户主密钥少于轮换周期，KMS会恢复之前的密钥轮换计划。关于计划删除密钥的信息，请参见删除密钥。 说明 用户可在“轮换策略”页面查看轮换详情，例如：上次轮换时间、轮换次数。

使用场景 业务正常请求被WAF拦截。例如，您在ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志。 6. 在“防护事件列表”中，根据实际情况对防护事件进行处理。 确认事件为误报，在目标防护事件所在行的“操作”列，单击“事件处理 > 误报处理”，添加误报处理策略。 添加误报屏蔽策略，参数说明如表所示： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则：配置Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 将源IP添加到地址组。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加到地址组”，添加成功后将根据该地址组所应用的防护策略进行拦截或放行。“添加方式”可选择已有地址组或者新建地址组。 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加至黑白名单”，添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。 参数说明见下表： 参数 参数说明 添加方式 选择已有规则 新建规则 规则名称 添加方式选择“选择已有规则”时，在下拉框中选择规则名称。 添加方式选择“新建规则”时，自定义黑白名单规则的名字。 IP/IP段或地址组 添加方式选择“新建规则”时，需要配置此参数。 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 地址组名称 “IP/IP段或地址组”选择“地址组”时，需要配置此参数。 在下拉列表框中选择已添加的地址组。 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 规则描述 可选参数，设置该规则的备注信息。

本节主要介绍MySQL分库分表>DRDS 使用技巧（需要人为配合） 如果您使用的是全量迁移模式（离线迁移），确保源和目标数据库无业务写入，保证迁移前后数据一致。 如果您使用的是全量+增量迁移模式（在线迁移），支持在源数据库有业务数据写入的情况下进行迁移，推荐提前23天启动任务，并配合如下使用技巧和对应场景的操作要求，以确保顺利迁移。 全量迁移 基于以下原因，建议您结合定时启动功能，选择业务低峰期开始运行迁移任务，相对静态的数据，迁移时复杂度将会降低。 全量迁移会对源数据库有一定的访问压力。 迁移无主键表时，为了确保数据一致性，会存在3s以内的单表级锁定。 正在迁移的数据被其他事务长时间锁死，可能导致读数据超时。 由于MySQL固有特点限制，CPU资源紧张时，存储引擎为Tokudb的表，读取速度可能下降至10%。 数据对比 建议您结合数据对比的“稍后启动”功能，选择业务低峰期进行数据对比，以便得到更为具有参考性的对比结果。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现少量数据不一致对比结果，从而失去参考意义。 操作要求 针对一些无法预知或人为因素及环境突变导致迁移失败的情况，数据库复制服务提供以下常见的操作限制，供您在迁移过程中参考。 类型名称 操作限制 （需要人为配合） 注意事项 环境要求均不允许在迁移过程中修改，直至迁移结束。 若专属计算集群不支持4vCPU/8G或以上规格实例，则无法创建迁移任务。 数据类型不兼容时，可能引起迁移失败。 操作须知 迁移过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 迁移过程中，不允许对源库需要迁移的表结构进行修改。 增量迁移场景下，不支持源数据库进行恢复操作。 选择表级对象迁移时，增量迁移过程中不建议对表进行重命名操作。 在任务启动、任务全量迁移阶段，不建议对源数据库做删除类型的DDL操作，这样可能会引起任务迁移失败。 建议将expirelogday参数设置在合理的范围，确保恢复时断点处的binlog尚未过期，以保证服务中断后的顺利恢复。 如果源数据库为自建库，并且安装了Percona Server for MySQL 5.6.x或Percona Server for MySQL 5.7.x时，内存管理器必须使用Jemalloc库，以避免因系统表频繁查询带来的内存回收不及时，并最终导致数据库Out of Memory问题。 类型名称 使用限制 （DRS自动检查） 数据库权限设置 全量迁移最小权限要求： 源物理分片数据库帐户需要具备如下权限：SELECT、SHOW VIEW、EVENT。 目标中间件帐户需要具备以下基本权限：CREATE、DROP、ALTER、 INDEX、 INSERT、DELETE、 UPDATE、 SELECT， 同时必须具备扩展权限:全表Select权限。 目标中间件帐户必须具备对所迁移数据库的权限。 全量+增量迁移最小权限要求： 源物理分片数据库帐户需要具备如下权限：SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 目标中间件帐户需要具备以下基本权限：CREATE、DROP、ALTER、 INDEX、 INSERT、DELETE、 UPDATE、 SELECT， 同时必须具备扩展权限:：全表Select权限。 目标中间件帐户必须具备对所迁移数据库的权限。 迁移对象约束 目前只支持迁移源库的数据，不支持迁移源库表结构及其他数据库对象。 用户需要在目标库根据源端逻辑库的表结构，自行在目标库创建对应的表结构及索引。未在目标库创建的对象，视为用户不选择这个对象进行迁移。 源库在目标库创建的表结构， 必须与源库的表结构完全一致。 源库为DRDS时，则不允许存在拆分键为timestamp类型的表。 不支持非MyISAM和非InnoDB表的迁移。 源数据库要求 增量迁移时，MySQL源数据库的binlog日志必须打开，且binlog日志格式必须为Row格式。 增量迁移时，在磁盘空间允许的情况下，建议源数据库binlog保存时间越长越好，建议为3天。 源数据库expirelogsdays参数值为0，可能会导致迁移失败。 增量迁移时，必须设置MySQL源数据库的server－id。如果源数据库版本小于或等于MySQL5.6，server－id的取值范围在2－4294967296之间；如果源数据库版本大于或等于MySQL5.7，server－id的取值范围在1－4294967296之间。 源分库分表中间件中的库名、表名不能包含：'<>/以及非ASCII字符。 MySQL源数据库建议开启skipnameresolve，减少连接超时的可能性。 源数据库GTID状态建议为开启状态。 目标数据库要求 目标库若已存在数据，DRS在增量迁移过程中源库相同主键的数据将覆盖目标库已存在的数据，因此在迁移前需要用户自行判断数据是否需要清除，建议用户在迁移前自行清空目标库。 目标实例及关联RDS实例的运行状态必须正常，若关联RDS实例是主备实例，复制状态也必须正常。 目标库关联RDS实例必须有足够的磁盘空间。 目标库关联RDS数据库的字符集必须与源数据库一致。 目标库实例若选择将时间戳类型（TIMESTAMP，DATETIME）的列作为分片键，则源库数据在迁移到目标库之后，作为分片键的该时间戳类型列的秒精度将被丢弃。 目标数据库存在表的AUTOINCREMENT值至少不能小于源库表的AUTOINCREMENT值。

云硬盘回收站是天翼云云硬盘一种重要的数据保护方式,本章将为您详细介绍云硬盘回收站管理的相关内容。 产品定义 天翼云云硬盘回收站支持将删除的云硬盘资源保存至回收站中，是一种数据保护的方式。在一定时间内，您可以在回收站内恢复云硬盘数据，以防止误删除导致的云硬盘数据丢失。 回收站功能默认为关闭状态，如需使用，需要用户手动开启，保留时间最多为7天。 应用场景 在以下情况中，云硬盘删除会被放入回收站： 当用户主动删除按需订购的云硬盘时，此云硬盘会被放入回收站。 在以下情况中，云硬盘删除后不会被放入回收站： 当包周期购买的云硬盘被用户退订时，不放入回收站。 处于冻结期的按需云硬盘主动删除时，不放入回收站。 按需云硬盘冻结保留期到期后被系统销毁时，不放入回收站。 重装操作系统时，直接删除，不放入回收站。 和弹性云主机或物理机同一订单订购的云硬盘，跟随实例被释放时，不放入回收站。 账号受限或冻结状态时，被删除的按需云硬盘（包含主动删除与系统删除）不放入回收站。 约束与限制 云硬盘在回收站内最多可保存7天，到期后自动销毁，销毁后云硬盘将无法恢复。 仅支持按需云硬盘被删除时放入回收站，包年包月云硬盘在退订时不放入回收站。 账号受限或冻结状态时，主动删除的按需云硬盘不放入回收站。 账号受限或冻结状态时，系统删除的按需云硬盘不放入回收站。 开启回收站后，删除的按需云硬盘会放入回收站并支持手动恢复，但此按需云硬盘的快照会直接销毁且无法手动恢复。 已在回收站中的云硬盘，当账户欠费时，这些云硬盘会进入冻结保留期，在回收站中保留时长可能不足7天就会被系统销毁。销毁时间以回收站保留期（自进入回收站起保留7天）和冻结保留期（自欠费起保留15天）中最早达到销毁条件的时间为准。 云硬盘回收站支持的资源池，如下表所示： 限制项 限制说明 支持资源池 郑州5/武汉41/华东1/南宁23/华南2/华北2/南昌5/青岛20/上海36/西南1/昆明2/杭州2/杭州7/长沙42/西安7/太原4/西南2贵州/庆阳2/呼和浩特3/乌鲁木齐7。

本文帮助您了解如何查看终端节点服务相关的监控图表数据并设置告警规则,约定在一些特殊情况出现时向用户发送告警通知。 操作场景 VPC终端节点监控支持终端节点服务维度的监控。您可以通过云监控依据细颗粒度的监控指标获得有关终端节点服务的各种监控数据信息, 也可以通过设置适当的报警阈值和报警策略，及时发现并处理潜在的问题。 使用须知 云监控服务不需要开通，会在您使用VPC终端节点服务后自动启动。 查看监控数据 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“管理与部署>云监控”。 4. 在云监控控制台左侧导航栏，点击“VPC终端节点监控”，选择终端节点服务页签，即可进入VPC终端节点服务监控页面。 5. 点击要查看的终端节点服务的名称/ID进入该终端节点监控详情页面。 6. 在终端节点服务监控数据界面中，选择终端节点服务页签，可查看该终端节点服务的各项监控指标，分别为流入带宽、流出带宽、流入数据包速率、流出数据包速率、流入丢弃带宽、流出丢弃带宽、流入丢弃数据包速率、流出丢弃数据包速率、并发连接。 7. 选择终端节点页签，查找并选择连接到该服务的终端节点。 8. 点击“确定”，即可查看选定终端节点的监控指标信息。 监控指标说明 这些监控指标可以帮助您了解VPC终端节点的网络性能以及数据流量情况。 监控指标 说明 流入带宽 终端节点服务流入的数据带宽大小。 流出带宽 终端节点服务流出的数据带宽大小。 流入数据包速率 终端节点服务每秒钟流入的数据包数量。 流出数据包速率 终端节点服务每秒钟流出的数据包数量。 流入丢弃带宽 终端节点服务流入时被丢弃的数据带宽大小。 流出丢弃带宽 终端节点服务流出时被丢弃的数据带宽大小。 流入丢弃数据包速率 终端节点服务每秒钟流入时被丢弃的数据包数量。 流出丢弃数据包速率 终端节点服务每秒钟流出时被丢弃的数据包数量。 并发连接 终端节点服务的并发连接数。

如果您希望基于各个语言的流行框架(如 Flask、Gin、SpringBoot)来编写程序,或者迁移已有的框架应用,可以选择创建自定义运行时函数。通过设置实例并发度,您可以有效管理资源使用,以应对流量高峰,降低冷启动的影响,从而控制成本并提升性能。 创建函数 前提条件 具备已通过实名认证的天翼云账号 已开通函数计算服务 操作步骤 1. 登录函数计算控制台，在左侧导航栏，单击函数，进入函数列表页面。 2. 在函数列表页中，点击创建函数按钮，进入函数创建页面。 3. 在函数创建页面，选择创建函数的方式，并配置以下配置项，然后单击确定 。以下操作以使用自定义运行时创建函数为例。 基本设置 配置项 说明 函数名称 设置函数名称 企业项目 支持将本次创建的函数上报到用户的企业项目中。若不配置该项，则默认上报到"default"企业项目。 函数代码 配置项 说明 示例 运行环境 选择您熟悉的开发语言，目前支持Python、Java、Go、Node.js、Php、.Net。 Python3.10 代码上传方式 选择代码上传到函数计算的方式。可以选择示例代码或通过 zip 包上传代码。 使用示例代码 示例代码 选择示例代码。 自定义 python3.10 运行时 注意 请确保启动程序及相关程序包具有可执行权限，可以通过chmod +x添加可执行权限。 高级配置 配置项 说明 示例 vCPU规格 为函数配置运行vCPU规格。 0.5 核 内存规格 为函数配置运行的内存规格。 512 MB 临时硬盘大小 根据您的业务情况，选择临时存储文件的硬盘大小。 512 MB 实例并发度 支持一个实例同时并发执行多个请求，这个值用来配置单个函数实例可以同时处理多少个请求。 1 执行超时时间 设置函数执行的超时时间。 64 请求处理程序 设置请求处理程序，函数计算的运行时会加载并调用您的请求处理程序处理请求。 index.handler 时区 选择函数的时区。 UTC 函数角色 选择根据函数所在服务配置的角色。 CTyunDefaultRole 允许访问VPC 是否允许函数访问VPC内资源。 否 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前服务中的函数将无法通过函数计算的默认网卡访问公网。 否 说明 vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1:1到1:4之间。 环境变量：设置函数运行环境中的环境变量。可以使用 json 或表单的形式编辑。

本页介绍RDSPostgreSQL将数据库实例恢复到指定时间点的功能。 恢复到指定时间点是指将数据库恢复到过去某个特定的时间点上的状态。 操作场景 RDSPostgreSQL支持使用已有的自动备份和手动备份以及日志备份，恢复实例数据到指定时间点。实例恢复到指定时间点，会从备份节点选择一个与该时间点最接近的全量备份以及该备份的时间点之后的日志备份还原到实例上，恢复时长和实例的数据量以及备份介质有关。 限制条件 如需使用按时间点恢复，需开启日志备份功能。 目前支持恢复到当前实例、已有实例和新实例。 需要确保被恢复的实例机器有足够的磁盘空间。 若开通实例时选择的备份空间为“云硬盘”，则恢复到新实例时，新实例需要和源实例处于同一个vpc下；若选择的为“对象存储”，则没有这个限制。 若选择恢复到已有实例，且当前实例开通时选择的备份空间为“云硬盘”，则要求目标实例和源实例处于同一个vpc下。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 6. 点击“备份恢复”页签，进入备份恢复功能页面。 7. 点击“实例恢复“> 恢复策略选择“按时间点”> 填写需要恢复到的时间。 1. 恢复的目标实例选择”当前实例“，则会将数据恢复到本实例，需要注意的是，此操作会删除实例的数据，请提前做好备份。 2. 选择”已有实例“，则会将数据恢复到目标实例，需要注意的是，此操作会删除目标实例的数据，请提前做好备份。 3. 选择“新实例”，则会跳转到开通页面，选配好新实例的配置之后，即可进行实例的开通和数据的恢复。 8. 如需查看结果，可通过“备份恢复”页面右上角处的【操作列表】功能中，看到数据库恢复等任务的进度。 9. 恢复完成后，实例状态会变成运行中。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，操作步骤有细微差异，请以实际界面为准，功能加载情况详见

本文主要对关系数据库PostgreSQL版的价格调整及包年优惠政策进行说明。 为提供更具竞争力和经济实惠的数据存储与处理解决方案，助力业务蓬勃发展。天翼云关系数据库PostgreSQL版将于2024年05月20日推出针对按需和包周期等全系列全规格产品的降价优惠。无论您是新用户还是现有客户，在下单时都将享受到降价后的优惠价格。对于现有客户，续费存量实例时也将适用新的价格标准。 调价详情 关系数据库PostgreSQL版对按需、包周期全系列全规格产品进行降价优惠，对长年限包周期实例购买下调价格显著，买的时间越久价格越便宜，降幅显著，长年限降幅最高达74%，具体降价幅度如下表所示。 注：下表仅挑选常用规格做降幅说明，其他降价规格资费详情请见产品资费。 规格名称 月费用 1年费用 2年费用 3年费用 4年费用 5年费用 规格名称 降价前（元/月） 降价后（元/月） 降幅 降价前（元/年） 降价后（元/年） 降幅 降价前（元/2年） 降价后（元/2年） 降幅 降价前（元/3年） 降价后（元/3年） 降幅 降价前（元/4年） 降价后（元/4年） 降幅 降价前（元/5年） 降价后（元/5年） 降幅 单机版2C4G通用型 231 150 35% 2356.2 1170 50% 3880.8 1980 49% 4158 2430 42% 5544 2520 55% 6930 2700 61% 单机版2C8G通用型 422 185 56% 4304.4 1443 66% 7089.6 2442 66% 7596 2997 61% 10128 3108 69% 12660 3330 74% 单机版4C8G通用型 455 360 21% 4641 2808 40% 7644 4752 38% 8190 5832 29% 10920 6048 45% 13650 6480 53% 单机版4C16G通用型 620 480 23% 6324 3744 41% 10416 6336 39% 11160 7776 30% 14880 8064 46% 18600 8640 54% 单机版8C32G通用型 1229 960 22% 12535.8 7488 40% 20647.2 12672 39% 22122 15552 30% 29496 16128 45% 36870 17280 53% 主备版2C8G通用型 672 520 23% 6854.4 4056 41% 11289.6 6864 39% 12096 8424 30% 16128 8736 46% 20160 9360 54% 主备版16C32G通用型 3640 2897 20% 37128 22596.6 39% 61152 38240.4 37% 65520 46931.4 28% 87360 48669.6 44% 109200 52146 52% 主备版16C64G通用型 4872 3768 23% 49694.4 29390.4 41% 81849.6 49737.6 39% 87696 61041.6 30% 116928 63302.4 46% 146160 67824 54% 主备版32C64G通用型 7278 5684 22% 74235.6 44335.2 40% 122270.4 75028.8 39% 131004 92080.8 30% 174672 95491.2 45% 218340 102312 53%

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本页介绍天翼云TeleDB数据库发送服务器相关参数。 这些参数可以在任何发送复制数据给一个或多个后备服务器的服务器上设置。主控机总是一个发送服务器，因此这些参数总是要在主控机上设置。这些参数的角色和含义不会在一个后备机变成主控机后改变。 maxwalsenders (integer) 指定来自后备服务器或流式基础备份客户端的并发连接的最大数量（即同时运行WAL 发送进程 的最大数）。默认值是10，0值意味着禁用复制。WAL 发送进程被计算在连接总数内，因此该参数 不能被设置为高于maxconnections的值。突然的流客户端断开 连接可能导致一个孤立连接槽（知道达到超时），因此这个参数应该设置得略高于最大客户端连接数，这样断开连接的客户端可以立刻重新连接。这个参数只能在服务器启动时被设置。 wallevel必须设置为archive或更高级别以允许来自后备服务器的连接。 maxreplicationslots (integer) 指定服务器可以支持的复制槽最大数量。默认值为10。这个参数只能在服务器启动时设置。要允许使用复制槽， wallevel必须被设置为archive或 更高。把它的值设置为低于现有复制槽的数量会阻止服务器启动。 walkeepsegments (integer) 指定在后备服务器需要为流复制获取日志段文件的情况下，pgwal目录下所能保留的过去日志文件段的最小数目。每个段通常是 16 兆字节。如果一个连接到发送服务器的后备服务器落后了超过walkeepsegments个段，发送服务器可以移除一个后备机仍然需要的 WAL 段，在这种情况下复制连接将被中断。最终结果是下行连接也将最终失败（不过，如果在使用 WAL 归档，后备服务器可以通过从归档获取段来恢复）。只设置pgwal中保留的文件段的最小数目；系统可能需要为 WAL 归档或从一个检查点恢复保留更多段。如果walkeepsegments为零（默认值）， 更多的空间来 存放WAL归档或从一个检查点恢复。如果walkeepsegments是零（缺省）， 系统不会为后备目的保留任何多余的段，因此后备服务器可用的旧 WAL 段的数量是一个上个检查点位置和 WAL 归档状态的函数。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。

本节介绍如何申请私有证书。 成功购买证书后，您需要申请证书，即为证书绑定域名或IP、填写证书申请人的详细信息并提交审核。所有信息通过审核后，证书颁发机构才签发证书。 前提条件 已成功购买私有（内网）证书并且在控制台的“证书状态”为“待申请”。如何购买私有（内网）证书请参考：购买私有（内网）证书。 准备工作 申请私有（内网）证书时，需要在人工验证阶段上传证书申请表，您可以提前下载私有（内网）证书申请表模版，申请表需经办人签字并加盖公章。 服务类型 证书版本 证书种类 加密标准 下载审核材料模板 私有（内网）证书 标准版 OV 国际标准、国密标准 私有（内网）证书申请表模版.xlsx 操作步骤 1. 登录“证书管理服务”控制台。 2. 在左侧导航栏选择“私有证书管理 > 私有证书列表”。 3. 选择待申请的证书，单击“操作”列的“证书申请”按钮，进行私有（内网）证书申请。 4. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 若您在申请单域名规格证书时，填写的域名为4级及以上子域名，请加上“www”，否则不会包含主域名。例如：申请www.aaa.bbb.ctyun.cn，会包含aa.bbb.ctyun.cn这个备用域名，若直接申请aaa.bbb.ctyun.cn，则不会包含www.aaa.bbb.ctyun.cn这个备用域名。 联系人 选择联系人，如何新建联系人请参考联系人管理章节。 公司 选择公司，如何新建公司请参考公司管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”或“SM2”。（根据购买证书页面所选的加密标准选择） CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 5. 填写完后，单击“提交审核”，进入验证环节，根据页面提示填写证书申请表并上传。 6. 上传完成后，等待CA签发机构完成验证，若验证通过则可以在控制台下载私有（内网）证书。

为什么可用区不能选择2个？ 所有不同规格的Kafka集群实例都是3个Zookeeper节点，并且是通过Zookeeper集群进行管理配置的，Kafka依赖Zookeeper，如果Zookeeper集群出现问题，Kafka将无法正常运行。 一个Zookeeper集群正常运行，至少需要2个Zookeeper节点正常运行。 假设允许可用区选择2个，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则集群实例能正常使用；如果可用区2故障，则集群不能正常使用。集群可用的场景只有50%，所以不支持选择2个可用区 如何选择Kafka实例的存储空间？ 存储空间，主要是指用于存储消息所需要的空间，选择时包括选择磁盘规格和大小，磁盘规格，当前支持“超高IO”和“高IO”两种类型。 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。Kafka集群中，每个Kafka节点会使用33G的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。 Kafka实例的超高IO和高IO如何选择？ 高IO：平均时延13ms，最大带宽150MB/s（读+写）。 超高IO：平均时延1ms，最大带宽350MB/s（读+写）。 建议选择超高IO，云硬盘服务端压力大场景，都不能达到最大带宽，但是超高IO可达到的带宽比高IO高很多。 如何选择Kafka实例存储容量阈值策略？ 当前支持以下两种策略： 生产受限策略 该策略场景下一旦磁盘使用达到容量阈值95%，会导致后续生产失败，但保留了当前磁盘中的数据，直至数据自然老化（Kafka原有的老化机制，数据默认保留3天）。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 自动删除策略 该策略场景下磁盘使用到达容量阈值之后，以一个segment文件为单位（1GB），会自动删除最早的segment文件，保证生产业务能继续正常运行。该场景优先保障业务不中断，数据可能会丢失。 以上两种策略的需要基于业务对数据和业务的可靠性来进行选择，只能作为极端场景下的一个种处理方式。建议业务购买时保证有充足的磁盘容量，避免磁盘的使用达到容量阈值。 Kafka实例的Topic数量是否有限制？ 在Kafka使用过程中，Topic数量本身无限制，但Topic的分区数之和有上限，当达到上限后，会导致用户无法继续创建Topic。

本文介绍天翼云全站加速的性能数据。 背景说明 行业内，全站加速一般通过如下相关性能指标衡量使用全站加速前后的加速效果，客户可以通过观测相关指标的发展变化来判断全站加速对自身业务的实际加速效果。 通用指标 业内一般通过平均响应时间、服务可用性、DNS解析时间、TCP建连时间、SSL握手时间、首包时间等相关性能指标来监测使用全站加速前后的加速效果，客户可以通过第三方监测平台监测以下相关指标的变化来判断全站加速对自身业务的实际加速效果。 类型 指标 描述 ::: 主要评价指标 整体性能 总下载时间，该值越小，则响应时间越短。 主要评价指标 服务可用性 访问成功率，该值越高，则可靠性越强。 网络指标 DNS解析时间 通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。 网络指标 TCP建连时间 浏览器或客户端和WEB服务器建立TCP/IP连接的消耗时间。 网络指标 SSL握手时间（按需） 浏览器或客户端和WEB服务器建立安全套接层（SSL）连接的消耗时间。 网络指标 首包时间 浏览器或客户端发送HTTP请求结束开始，到收到WEB服务器返回的第一个数据包的消耗时间。 网络指标 内容下载时间 监测一个页面时，从页面角度看，浏览器或客户端接收WEB服务器返回第一个数据包，到所有内容传输完成的时间。 平台指标 回源率 回源率分为回源请求数比例及回源流量比例两种。 1. 回源请求数比：指全站节点对于没有缓存、缓存过期（可缓存）和不可缓存的请求占全部请求记录的比例。 2. 回源流量比：回源流量是全站节点回源请求内容时产生的流量。回源流量比回源流量/用户请求访问的流量，比值越低，性能越好。 平台指标 缓存命中率 缓存命中率包括流量命中率和请求命中率。全站缓存命中率低，会导致源站压力大，静态内容访问效率低。 统计方式： 流量命中率 1 源站响应节点的流量/节点响应用户的总流量（5分钟粒度）。 请求命中率 1 节点回源请求数/用户访问节点的总请求数（5分钟粒度）。 注意 对于开启Range回源功能的域名，因为回源做了分片，而用户访问全站节点没有分片，可能会出现全站节点回源请求数远大于用户访问全站节点的请求数的情况。这种情况下回源请求数比的数据将没有参考意义。

查看数据库拖库检测结果 数据库拖库检测开启后，您可以在“总览 > 语句”中，查看原始审计日志疑似拖库的SQL语句。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“总览”，进入“总览”界面。 4. 在“选择实例”下拉列表框中，选择需要查看数据库拖库检测语句信息的实例。 5. 选择“语句”页签。 6. 您可以按照以下方法，查询指定的SQL语句。选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。选择“风险等级”（“高”，数据库拖库检测规则默认为高），单击“提交”，列表显示该级别的SQL语句。单击“高级选项”后的，输入相关信息，如图所示，单击“搜索”，列表显示该选项的SQL语句。 说明 一次查询最多可查询10,000条记录。 7. 在需要查看数据库拖库检测详情的SQL语句所在行的“操作”列，单击“详情”，如图所示。 8. 在详情提示框中，查看数据库拖库SQL语句的详细信息，如图所示，相关参数说明如表所示。 SQL语句详情参数说明 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。 数据库端口 执行SQL语句所在的数据库的端口。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

本文帮助您了解对象存储数据回源配置相关的操作步骤。 操作场景 您可以通过ZOS控制台，对存储桶设置回源规则，当您请求的对象在存储桶中不存在或者需要对特定的请求进行重定向时，您可以通过回源规则访问到对应的数据。设置回源主要用于数据的热迁移、特定请求的重定向等场景，您可以按照自身实际需要进行设置。 约束与限制 数据回源支持的区域请参见产品能力地图。 镜像回源将源站数据保存至 ZOS 中，不支持指定存储类型（默认为标准存储，详情参考 修改文件存储类型），不支持设置文件读写权限（默认为私有，详情参考 文件读写权限文档） 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择上海上海36。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台，单击Bucket名称进入“概览”页面。 5. 找到“基础设置”分页下的“数据回源”部分，点击“设置”按钮。 6. 在数据回源的模块中，点击“创建规则”，在弹出的数据回源规则窗口中按参数说明进行配置。数据回源规则配置说明如下： 参数 说明 回源类型 根据需求场景选择镜像回源或重定向回源： 镜像回源：镜像回源会从回源规则指定的源站抓取对应资源，转发给客户端，同时在后台生成回源任务，将源站数据保存至ZOS中。 重定向回源：重定向回源对用户的请求根据回源规则生成新的url后进行重定向，由客户端对重定向的url进行访问，不会将源站数据保存至ZOS中。 回源条件 触发回源需同时满足下列两个条件： HTTP状态码：404 文件名前缀：设置请求的文件名前缀 回源地址规则 选择添加前缀/添加前后缀/替换文件名前缀。 回源地址 选择https/http，填入域名或 IP 地址。 跟随重定向 可选开启或关闭。开启后ZOS会跟踪源站的3xx重定向请求，前往重定向的目标获取资源，并将资源保存到ZOS。关闭时ZOS会透传3xx响应，不会前往重定向的目标获取资源。 7. 配置完后点击“确定”，创建成功，系统将根据创建的先后顺序为规则分配优先级，您也可以通过点击“调整优先级”来重新调整规则的优先级。

在监控Go应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍如何通过SkyWalking SDK上报Go应用数据。 接入步骤 1. 添加SkyWalking Go依赖。 plaintext package main import ( "context" "flag" "fmt" "github.com/SkyAPM/go2sky" httpPlugin "github.com/SkyAPM/go2sky/plugins/http" "github.com/SkyAPM/go2sky/reporter" "io/ioutil" "log" "net/http" "time" ) 2. 查看接入点信息。 应用列表的接入指引会根据您所在资源池提供v3版本接入点(Skywalking 8.)的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3. 初始化SkyWalking Go SDK。 注意 需将token和endpoint替换成相应地域的接入点信息。 使用gRPC协议上报数据。 plaintext serverPort : flag.String("port", "9891", "server port") token : flag.String("token", " ", "token") // 鉴权信息 endpoint : flag.String("endpoint", " ", "endpoint") // grpc端口 authMap : map[string]string{ "xctgauthorization": token, } flag.Parse() report, err : reporter.NewGRPCReporter(endpoint, reporter.WithAuthHeader(authMap)) //report, err : reporter.NewLogReporter() tracer, err : go2sky.NewTracer(service, go2sky.WithReporter(report), go2sky.WithInstance("clientaddr")) //填写您的客户端地址 4. client端上报例子。 plaintext func do(tracer go2sky.Tracer, serverPort string, client http.Client) { for { time.Sleep(5time.Second) doClient(tracer, client, "client", " + serverPort + "/helloserver") } } func doClient(tracer go2sky.Tracer, client http.Client, spanName string, url string) { clientReq, err1 : http.NewRequest(http.MethodGet, url, nil) parentSpan, newCtx, : tracer.CreateLocalSpan(context.Background()) parentSpan.SetOperationName(spanName) defer parentSpan.End() clientReq clientReq.WithContext(newCtx) res, err1 : client.Do(clientReq) if err1 ! nil { fmt.Println(err1, "send req error") return } defer res.Body.Close() body, err1 : ioutil.ReadAll(res.Body) fmt.Println(string(body)) } 5. 服务端上报例子。 plaintext route : http.NewServeMux() route.HandleFunc("/helloserver", func(writer http.ResponseWriter, request http.Request) { upstreamURL : " client, err : httpPlugin.NewClient(tracer) clientReq, err1 : http.NewRequest(http.MethodGet, upstreamURL, nil) if err1 ! nil { writer.WriteHeader(http.StatusInternalServerError) log.Printf("unable to create http request error: %v n", err) return } subSpan, newCtx, : tracer.CreateLocalSpan(request.Context()) subSpan.SetOperationName("server2") defer subSpan.End() clientReq clientReq.WithContext(newCtx) res, err1 : client.Do(clientReq) if err1 ! nil { writer.WriteHeader(http.StatusInternalServerError) log.Printf("unable to do http request error: %v n", err) return } defer res.Body.Close() body, err1 : ioutil.ReadAll(res.Body) if err1 ! nil { writer.WriteHeader(http.StatusInternalServerError) log.Printf("read http response error: %v n", err) return } writer.WriteHeader(res.StatusCode) , writer.Write(body) }) sm, err : httpPlugin.NewServerMiddleware(tracer) if err ! nil { log.Fatalf("create server middleware error %v n", err) } err http.ListenAndServe(":" + serverPort, sm(route)) if err ! nil { log.Fatal(err) } 6. 通过以上步骤，最后就在APM控制台的应用列表页面选择目标应用，查看监控数据。

分布式消息服务RocketMQ版支持任意时间的定时消息，最大推迟时间可达到40天。 定时消息即生产者生产消息到分布式消息服务RocketMQ版后，消息不会立即被消费，而是延迟到设定的时间点后才会发送给消费者进行消费。 收发消息前，请参考收集连接信息收集RocketMQ所需的连接信息。 准备环境 1. 在命令行输入python，检查是否已安装Python。得到如下回显，说明Python已安装。 PS C:> python Python 3.9.9 (tags/v3.9.9:ccb0e6a, Nov 15 2021, 18:08:50) [MSC v.1929 64 bit (AMD64)] on win32 Type "help", "copyright", "credits" or "license" for more information. 如果未安装Python，请使用以下命令安装： pip install rocketmqclientpython 2. 安装librocketmq库和rocketmqclientpython。 说明 建议下载rocketmqclientcpp2.2.0，获取librocketmq库。 3. 将librocketmq.so添加到系统动态库搜索路径。 1. 查找librocketmq.so的路径。 find / name librocketmq.so 2. 将librocketmq.so添加到系统动态库搜索路径。 ln s /查找到的librocketmq.so路径/librocketmq.so /usr/lib sudo ldconfig 以下示例代码中的参数说明如下，请参考收集连接信息获取参数值。 GROUP：表示消费组名称。 ENDPOINT：表示实例连接地址和端口。 TOPIC：表示Topic名称。 发送消息 参考如下示例代码。 import datetime from rocketmq.client import Producer, Message from rocketmq.exceptions import RocketMQException endpoint "${ENDPOINT}" 填写分布式消息服务RocketMQ控制台Namesrv接入点 accesskey "${ACCESSKEY}" 填写AccessKey 在分布式消息服务RocketMQ控制台用户管理菜单中创建的用户ID accesssecret "${SECRETKEY}" 填写SecretKey 在分布式消息服务RocketMQ控制台用户管理菜单中创建的用户密钥 topic "${TOPIC}" 填写Topic，在管理控制台创建 producergroup "${GROUP}" 生产者组group 初始化生产者 producer Producer(producergroup) producer.setnamesrvaddr(endpoint) producer.setsessioncredentials(accesskey, accesssecret, "") 启动生产者 try: producer.start() except RocketMQException as e: print('start producer error:', e) exit(1) msg Message(topic) msg.setbody("Hello RocketMQ") delaytime 10 发送任意延迟消息，时间单位为毫秒，如下所示：消息将在10s后投递 delaytimestamp int((datetime.datetime.now() + datetime.timedelta(secondsdelaytime)).timestamp() 1000) msg.setproperty('STARTDELIVERTIME', str(delaytimestamp)) 发送消息 try: result producer.sendsync(msg) print('send result:', result) except RocketMQException as e: print('send message error:', e) producer.shutdown() exit(1) 关闭生产者实例，释放资源 producer.shutdown()

本文介绍同地域跨VPC挂载文件系统。 操作场景 当海量文件服务支持在同地域（资源池）不同的VPC中挂载同一个文件系统。通过为文件系统添加不同的VPC，即可将文件系统挂载至已绑定的VPC中的云主机上，实现跨VPC访问。 说明 单文件系统可添加20个VPC，即文件系统可挂载至来自20个不同VPC的云主机上。 前提条件 至少已有一个海量文件系统。 在同一个地域已创建2个不同的VPC。 在同一个地域已有两台云主机，分别归属于以上2个VPC。 操作步骤 1. 登录天翼云控制中心，在管理控制台左上角选择地域。 2. 选择“存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页。 3. 在列表“操作”处或者点击目标文件系统名称进入详情页，点击“添加VPC”，添加第一台云主机的VPC。 4. 在弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，这里选择第一台云主机的VPC，选择默认权限组。点击“确定”，完成添加。 5. 然后再点击“添加VPC”，相同操作添加第二台虚拟机的VPC。弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，这里选择第二台云主机的VPC，选择默认权限组。点击“确定”，完成添加。 6. 添加完成后，可以在详情页下方VPC页签可看到绑定的VPC，可以点击操作栏下方的“更换权限组”，以更改VPC绑定的权限组。 7. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 8. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机弹性云主机快速入门。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 9. 将文件系统分别挂载至两台云主机，具体操作方法请参考挂载NFS文件系统到弹性云主机(Linux)。 10. 挂载成功后，可以在第一台Linux 云主机上访问文件系统，执行写入操作。您可以把文件系统当作一个普通的目录来访问和使用。依次执行如下命令在两个文件系统中创建文件、文件夹。 plaintext mkdir /mnt/localpath/test1 touch /mnt/localpath/file1 echo ‘1234’ > /mnt/localpath/file2 11. 在第二台云主机执行如下命令读取文件内容。 plaintext cat /mnt/localpath/file2

本文为您介绍创建Linux操作系统的GPU计算加速型云主机时,自动安装GPU驱动的详细操作指导。 准备工作 创建账号，以及完善账号信息。本教程创建的是按量付费实例。开通按量付费GPU云主机资源时，您的天翼云账户余额（即现金余额）不得小于100.00元人民币。充值方式请参见费用中心>账户充值。 可选：在创建弹性云主机时，如果您的账号在本地域没有创建VPC，天翼云会提供一个默认的VPC，如果您不想使用默认vpc，可以在本地域创建vpc。具体操作，请参见虚拟私有云>创建VPC、子网搭建私有网络。 操作步骤 步骤1：进入创建云主机页面 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“服务列表>弹性云主机”。 3. 单击“创建云主机”，系统进入创建页。 步骤2：基础配置 1. 选择“计费模式”。 包年包月：一种预付费模式，即先付费再使用。一般适用于固定业务应用，例如网站服务。需要先支付包年包月资源账单，才能开始使用包年包月资源。 按量付费：一种后付费模式，即先使用再付费。一般适用于有业务变化的应用，例如临时扩展、临时测试。可以先开通并使用按量付费资源，系统在每个结算周期生成账单并从账户中扣除相应费用。 2. 选择“地域和可用区”。 3. 设置“实例名称”，长度为 2~63个字符。 4. 设置“主机名称”，长度为 2～15 个字符，允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字。 5. 选择分类为“GPU加速/AI加速型架构”。 6. 根据自身需求选择规格族及具体规格。 7. 预装驱动，如下两种方式可以预装驱动： 1. 直接选择预装驱动的公共镜像，如CTyunOS 2.0.1 64 位 预装NVIDIA Tesla 550.90.07驱动(40GB)、Ubuntu Server 22.04 64 位预装 NVIDIA Tesla 550.90.07 驱动(40GB)等名称中有“预装NVIDIA Tesla 550.90.07驱动”字样的镜像。 2. 选择目标的Linux的公共镜像，勾选“安装GPU驱动”，选择对应的CUDA、Driver、CUDNN版本。 注意 目前仅部分资源池支持勾选自动安装GPU驱动，若目标资源池不支持该功能，且提供的预装驱动镜像无法满足您的要求，请您参见安装Tesla驱动，手动安装GPU驱动。 8. 设置“存储”。 磁盘包括系统盘和数据盘。您可以为云主机添加多块数据盘，系统盘大小目前默认为40GB。

本文为您介绍Android 客户端如何通过SSL VPN双因子认证后接入VPC。 前提条件 已经在天翼云华东1地域创建了vpc1，且VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3 您已经了解VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许客户端地址池对VPC内业务的访问。 场景示例 如某公司在华东1地域创建了VPC，网段为192.168.1.0/24。因业务发展，出差员工需要使用Android 客户端访问云上VPC资源。 可以在云上创建VPN网关，配置SSL服务端并开启双因子认证。Android客户端通过SSL VPN接入云上VPC，不仅要进行证书认证，还需要认证密码，认证通过后才可以访问云上资源，提高了VPN连接的安全性和可管理性。 配置步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 选择资源类型（VPC、云间高速）。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 按月购买：自动续订周期为一个月。 按年购买：自动续订周期为一年。 关闭 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。 记录VPN网关的IP地址，步骤五配置客户端的时候要用。

本文主要介绍如何通过对象存储导入日志 本文主要介绍如何将天翼云对象存储的数据导入到云日志服务，实现数据的查询分析、加工等操作。 注意 当前功能为白名单试用阶段，仅在华北2资源池开放。 创建数据导入任务 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“日志接入”，进入接入管理页面 3. 在“数据导入”模块中，点击“对象存储ZOS数据导入” 4. 选择目标日志项目和日志单元，单击下一步。 5. 设置接入配置，配置如下参数，确认无误后，单击下一步。 参数 说明 接入配置名称 导入任务的唯一标识 ZOS存储桶 待导入的文件所在的存储桶 文件路径前缀过滤 可通过文件路径前缀过滤对象存储文件，用于准确定位待导入的文件。比如待导入的文件都在nginx/目录下，则可以指定前缀为nginx/。 如果不设置该参数，则遍历整个对象存储的存储桶。 文件路径正则过滤 通过文件路径的正则表达式过滤对象存储文件，用于准确定位待导入的文件。当对象存储的文件名（包含文件路径）匹配该正则表达式的文件才会导入到日志服务中。默认为空，表示不过滤。 文件修改时间过滤 通过文件修改时间过滤对象存储文件，用于准确定位待导入的文件。 所有：表示将导入所有符合条件的文件 某时间开始：只导入某个时间点后修改过的文件 特定时间范围：只导入某个时间范围内修改过的文件 压缩格式 待导入的对象存储文件的压缩格式，云日志服务根据对应格式进行解压，并读取数据。 检查新文件周期 若目标对象存储中的文件路径中有新文件持续不断产生，可以设置检查新文件周期。设置后，导入任务会一直在后台运行，自动周期性地发现并读取新文件。 若目标对象存储文件路径中不再产生新文件，可设置为永不检查，即导入任务读取完所有符合条件的文件后，将自动退出。 文件编码 选择待导入的对象存储文件的编码格式，仅支持UTF8和GBK。 数据格式 设置日志文件的解析格式： 单行文本：将对象存储文件中的每一行解析为一条日志。 跨行文本：多行模式，需要设置行首正则表达式解析日志。 单行JSON：将逐行读取对象存储文件，并将每一行作为一个JSON对象进行解析。解析后，JSON中的各个字段将映射为日志的各个字段。 6. 创建索引。默认开启全文索引，您也可以根据需要手动创建字段索引用于字段查询。 7. 点击完成，即可完成导入任务创建。等待1分钟左右，在查询日志界面能查询到日志，则说明导入成功。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 云等保专区仅资源控制台的相关操作对接云审计服务。 关键操作列表 服务名称 事件动作 云等保专区 获取原子能力列表 云等保专区 概览页 云等保专区 根据资源id更新资源名称 云等保专区 获取可分配eip列表 云等保专区 绑定eip 云等保专区 解绑eip 云等保专区 查询可关联子网 云等保专区 关联绑定子网 云等保专区 解绑子网 云等保专区 绑定havip 云等保专区 解绑havip 云等保专区 绑定网卡 云等保专区 解绑网卡 云等保专区 查询可绑定havip 云等保专区 查询可绑定网卡 云等保专区 查询当前实例已绑定网卡 云等保专区 获取子网路由规则列表 云等保专区 创建子网路由规则 云等保专区 创建安全路由规则 云等保专区 删除入向安全路由规则 云等保专区 获取安全组列表 云等保专区 删除子网路由规则 云等保专区 重启服务 云等保专区 切换子网 云等保专区 产品是否已购买 云等保专区 原子能力免登录URL接口 云等保专区 获取安全能力权限列表 云等保专区 批量订购、续订、升级、退订 云等保专区 过期时间更新

本文介绍天翼云分布式缓存服务Redis版的产品版本差异 分布式缓存服务Redis版在创建实例的时候，可选择“实例类型”、“版本号”。 说明 选型说明： 1. 版本类型选型：优先选择基础版主备或基础版Cluster主备，选型优先级 基础版 > 增强版 > 经典版 2. 版本号选型：版本号共有2.8，4.0，5.0，6.0，7.0版本可以选择，其中版本号5.0只支持基础版，6.0及以上才支持增强版，若业务对性能与吞吐有较高需求，建议选择增强版。 3. 集群选型：经典版集群(代理集群)承担着路由转发、负载均衡和故障转移等职责，能够实现架构转换，帮助您如同在使用标准版一样地使用集群版，但在命令的使用上有部分限制(详细请参考开源命令兼容性章节)。如果想更贴近开源使用方式且对业务性能与吞吐要求较高，可选择基础版或增强版Cluster集群(直连集群)，该模式下业务请求直接绕过代理服务器直接请求后端Redis分片，从而降低了网络IO开销提升了整体性能。 分布式缓存服务Redis版各个版本号区别如下表所示。 比较项 Redis 5.0 （基础版） Redis 6.0 Redis 7.0 Redis 2.8 / 4.0 /5.0 (经典版) 兼容开源版本 Redis 5.0 兼容开源5.0.5版本 Redis 6.0兼容开源6.2.12版本 Redis 7.0兼容开源7.0.14版本 Redis 5.0 兼容开源5.0.5版本 实例类型 单机、主备 Cluster单机、Cluster主备 单机、主备 Cluster单机、Cluster主备读写分离 单机、主备 Cluster单机、Cluster主备 读写分离 单机、主备 集群单机、集群主备 版本类型 基础版 基础版、增强版 基础版、增强版 经典版 实例部署模式 云主机 云主机 云主机 云主机 QPS 单节点约10万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 单节点约10万QPS 公网访问 支持 支持 支持 支持 域名连接 支持 支持 支持 支持 可视化数据管理 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 离线全量key分析 支持 支持 不支持 支持 账号管理 不支持 支持 支持 仅集群支持 SSL管理 不支持 仅基础版支持 仅基础版支持 不支持 扩容/缩容 支持 支持 支持 支持 实例数据迁移 支持 支持 支持 支持 支持多数据库（DB） Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 支持256 备份恢复 支持 支持 支持 支持

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。