前提条件 已获取管理控制台的登录帐号与密码。 已经配置好安全组。 弹性云服务器的“Agent状态”为“未安装”。 通过IE浏览器访问时需要将用到的网站加入受信任的站点。 安装Linux版本客户端（方式一） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式一中，根据需要选择相应的Agent版本，并将步骤二的安装命令复制下来。 步骤4、前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤5、将步骤二的安装命令粘贴至该服务器，以root权限执行。若执行失败，请先使用命令yum install y bindutils进行dig模块安装；若使用该命令安装仍旧失败，再使用安装Linux版本客户端（方式二）进行安装。 步骤6、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。 安装Linux版本客户端（方式二） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式二中，单击“点击下载”。在弹出的“下载客户端”，根据目标弹性云服务器的操作系统类型，选择需要下载的版本，单击“确定”。 步骤4、将客户端下载至本地任意目录后，使用文件传输工具（例如：“Xftp”、“SecureFX”、“WinSCP”），将下载的客户端安装包上传到待安装客户端的弹性云服务器。 步骤5、上传完毕后，前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤6、执行tar zxvf命令，将客户端安装包解压至任意目录，执行以下命令，进入解压后目录中的bin目录。 cd bin 执行以下命令，运行安装脚本。 sh agentinstallebk.sh 系统提示客户端安装成功。 步骤7、若弹性云服务器中已经安装了MySQL或SAP HANA数据库，需要执行以下命令加密MySQL或HANA数据库登录密码。 /home/rdadmin/Agent/bin/agentcli encpwd 步骤8、使用上一个步骤中的加密密码替换/home/rdadmin/Agent/bin/thirdparty/ebkuser/目录下脚本里的数据库登录密码。 步骤9、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。

负载方式 在为业务配置负载均衡时，需要选择合适的流量负载方式，对流量进行负载分发，可避免服务器负载不均，部分服务器负载过高影响服务性能，天翼云弹性负载均衡提供以下负载方式供您选择： 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数； 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 源算法：基于源IP地址的一致性哈希，相同的源地址会调度到相同的后端主机。 后端云主机 在使用负载均衡器之前，需要先创建弹性云主机实例并在其上部署相关的业务应用。然后，将这些云主机实例添加到负载均衡器的后端主机组，以处理来自客户端的请求转发。在创建后端主机时，需要注意以下几点： 地域一致性：确保后端服务器实例和负载均衡器位于相同的地域，避免潜在的网络延迟和性能问题。 操作系统一致性：建议选择相同操作系统的后端服务器实例，以便统一操作系统配置和软件环境，简化管理任务。

访问控制 IP黑白名单：通过配置IP黑名单和白名单来实现对终端请求身份的识别和过滤，从而控制并限制访问应用加速资源的指定用户；开启白名单功能后，只有白名单内的IP能访问当前的应用加速域名，白名单以外的IP均无法访问当前的加速域名提供相应业务；黑名单内的IP均无法访问当前的加速域名。 区域访问控制：通过配置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。区域访问控制功能支持按照国家、省份、城市粒度设置区域访问黑白名单。 传递用户IP回源 传递用户IP回源： 开启该功能后，可以将来自客户端的IP透传给源站。回源方式可选择proxyprotocol或tcpoption。proxyprotocol版本可选择v1,v2。 DDoS防护 DDoS防护：可按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关，开启后将会对相应区域的DDoS攻击进行防护。

实践建议 以下是一些关于安全组的建议和实践经验，帮助确保您的云环境的安全性，您可根据具体需求和环境来制定适合的安全组策略： 原则上，安全组规则取最小权限原则，通过设置所需的端口和协议，限制对必要IP地址的访问。只允许最少必要的流量进出您的资源实例。 定期更新安全组规则，以适应您的业务需求的变化。不再需要的规则应被删除，根据业务变化添加新的安全组规则。 根据资源的安全需求，将资源实例划分为不同的安全组。通过多层级的安全组可以实现细粒度的安全控制，确保安全性与灵活性之间的平衡。 通过有规范的命名等方式有意识地规划和管理安全组规则，易于查找。 安全组应与其他安全措施如网络ACL、防火墙等结合使用，以提供更全面的安全保护。 建议您不要直接修改线上环境使用的安全组，修改后的安全组会自动应用在安全组内的所有云服务器上，因此您可以先克隆一个安全组，在测试环境中进行调试，确保修改后云服务器之间的通讯正常，再将修改后的安全组同步到线上环境。

使用场景 当您需要通过DHCP选项集管理VPC内云服务器的DNS域名服务器IP、域名时，可以通过创建DHCP选项集来快速、便捷的进行管理。DHCP选项集和VPC关联成功后，该VPC下的所有云服务器将使用DHCP选项集中的DNS域名服务器IP、域名。 目前仅部分可用区资源池支持DHCP选项集能力，实际情况以控制台展示为准。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 根据您的业务场景，如果VPC下的所有云服务器使用相同的DNS域名服务器IP、域名，此时您可以使用DHCP选项集进行统一管理。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，本文我们以某可用区资源池为例。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在网络控制台界面，选择DHCP选项集，单击进入DHCP选项集列表页。 5. 点击创建“DHCP选项集”，进入创建DHCP选项集详情页。 6. 填写对应的名称、域名、DNS域名服务器IP、描述后，点击“确认”按钮进行创建。

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

本文主要介绍相关术语解释 镜像（Image） 容器镜像是一个模板，是容器应用打包的标准格式，在部署容器化应用时可以指定镜像，镜像可以来自于镜像中心或者用户的私有Registry。例如一个容器镜像可以包含一个完整的Ubuntu操作系统环境，里面仅安装了用户需要的应用程序及其依赖文件。容器镜像用于创建容器。容器引擎本身提供了一个简单的机制来创建新的镜像或者更新已有镜像，您也可以下载其他人已经创建好的镜像来使用。 容器（Container） 一个通过容器镜像创建的运行实例，一个节点可运行多个容器。容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的命名空间。 镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 组织 组织用于隔离镜像仓库，每个组织可对应一个公司或部门，将其拥有的镜像集中在该组织下。同一用户可属于不同的组织。支持为帐号下不同用户分配相应的访问权限（读取、编辑、管理）。

API接口 1. 列举模型 URL：GET /api/models 描述：列出可用的模型列表，并提供相关模型的基本信息。 例子: plaintext curl H "Authorization: Bearer APIKEY" 2. 对话补全 URL：POST /api/chat/completions 描述：根据输入的上下文，来让模型补全对话内容。 例子： plaintext curl L X POST ' H 'ContentType:application/json' H 'Accept:application/json' H 'Authorization:BearerAPIKEY' d '{ "model":"deepseekr1:7b", "messages": [ { "content":"用英语翻译一下你好", "role":"user" } ], "stream":false }' 使用外部大模型 Open WebUI通过云主机方式部署完自己的DeepSeek后，可以直接嵌入使用外部大模型，嵌入后可以通过WEB、API进行模型使用。配置方式如下： 1. 登录Open WebUI。 2. 选择管理员面板>设置>外部连接。 3. 选择OpenAI API开启，点击管理OpenAI API连接，新增外部大模型连接，输入外部模型的URL和API KEY。 4. 点击保存。 5. 查看对话新增的大模型，其中DeepSeekchat和DeepSeekreasoner为DeepSeek官网新增模型。

本文介绍函数运行时的Response的定义与用法。 您可以使用new Response()构造函数来创建一个Response对象，但通常更可能遇到的情况是，其他的API操作返回一个Response对象。例如一个FetchEvent.respondWith，或者一个简单的fetch()。 详细定义请参见MDN官方文档Response。 构造函数 javascript let response new Response(body, init) 参数 body 可选，定义响应正文的对象。可以是null或以下任何一种类型： BufferSource FormData（即将支持） ReadableStream URLSearchParams USVString init 可选，包含要应用于Response的自定义设置。 status int 响应的状态码，例如200。 statusText string 与状态代码关联的状态消息，例如OK。 headers Headers ByteString Headers对象或要添加到响应头的ByteString键/值对。 属性 body ReadableStream 读取响应正文的只读流。 bodyUsed boolean 表示响应是否读取过正文。 headers Headers 响应的头信息。 ok boolean 表示响应是否成功（HTTP状态码的范围在200299）。 redirected boolean 表示响应是否来自一个重定向，如果是的话，它的URL列表将会有多个条目。 status int 响应的状态码 （例如200表示成功）。 statusText string 与响应状态码一致的状态信息（例如，OK对应200）。 url string 响应的URL，该值是任何重定向后获得的最终URL。 webSocket 暂不支持。

本节介绍了如何操作云数据库GaussDB 的规格变更。 操作场景 随着业务的不断增加，实例的CPU和内存资源可成会为实例性能的瓶颈，无法满足业务要求时，云数据库GaussDB 提供了规格变更功能来提升实例的CPU和内存。 注意事项 不支持将规格参数变小。 规格变更前，须确保实例状态正常。实例异常，节点异常，磁盘满均不允许进行规格变更。 修改CPU内存后，将会重启数据库实例。请选择业务低峰期，避免业务异常中断。重启后实例会自动释放内存中的缓存，请在业务低峰期进行重启，避免对高峰期业务造成影响。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 规格变更”，进入“规格变更”页面。 您也可以通过单击目标实例名称，进入“基本信息”页面，在“数据库信息”模块的“性能规格”处，单击“规格变更”，进入“规格变更”页面。 步骤 3 在“规格变更”页面，选择所需修改的性能规格，单击“下一步”。 步骤 4 进行规格确认，单击“提交”。 步骤 5 查看变更结果。 任务提交成功后，单击“返回实例列表”，在实例管理页面，可以看到实例状态为“规格变更中”。稍后在对应的“基本信息”页面，查看实例规格，检查修改是否成功。

2、自动调度 cubevkprofile支持的调度策略如下： 策略 说明 fair 公平调度，由kubescheduler决定调度到标准Node或VNode。 normalNodeOnlyPod 只会调度到标准Node。 normalNodePrefer 优先调度到标准Node，标准Node资源不足时允许调度到VNode。 virtualNodeOnlyPod 只会调度到VNode。 创建Selector来配置Pod的调度策略 创建Pod时，系统会按照Selector配置去匹配Pod，Selector Label能够匹配上的Pod，会自动调度到ECI，并自动添加相应的Annotation和Label，Selector的YAML配置模板如下： plaintext apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: testautovirtualnode spec: objectLabels: matchLabels: app: nginx effect: annotations: ccse.ctyun.cn/eciimagecache: "true" labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 99 spec中的相关参数说明如下： 名称 描述 objectLabels.matchLabels 要匹配的Pod Label。 namespaceLabels.matchLabels 要匹配的Namespace Label。 effect.annotations 要添加的Annotation。 effect.labels 要添加的Label。 policy 调度策略。支持以下几种：fair、nromalNodeOnly、normalNodePrefer、virtualNodeOnly。 priority 优先级。存在多个Selector且发生冲突时，优先级高的Selector会生效。数值越大，表示该Selector优先级越高。 说明 objectLabels和namespaceLabels中，至少要选择一个配置。如果同时配置了两者，则Pod需要同时匹配两者。

本文介绍AOne在金融行业的最佳实践。 背景信息 数字化发展使得金融机构的业务更加依赖于信息技术和网络通信。用户期望能够在任何时间、任何地点通过互联网进行交易，并且希望能够获得流畅、高效的体验。这也意味着大量敏感数据（如个人身份信息、账户信息等）通过互联网传输和处理。随着数字化交易的增加，网络犯罪活动也在不断演进，金融机构必须采取强大的安全措施来防止数据泄露、欺诈行为和黑客攻击。 天翼云边缘安全加速平台AOne基于CDN动静态加速、WAF、DDoS防护能力，帮助保护客户数据和防范网络攻击，满足监管要求，并确保业务连续性；同时，加速服务优化网络性能，提供快速、流畅的用户体验，增强金融机构的竞争力和客户信任。 技术架构 应用场景 网络安全防护场景 业务挑战：金融机构面临各种网络安全威胁，如DDoS攻击、Web应用攻击、数据泄露等，这可能导致网络中断、敏感数据泄露和业务损失。 方案优势：AOne提供强大的边缘安全防护，通过全球部署的边缘节点，及时检测和缓解DDoS攻击，使用WAF技术监控和过滤恶意请求，实现数据加密和安全访问控制，保护网络和应用程序免受攻击。

本文介绍函数运行时中Response的定义与用法。 您可以使用new Response()构造函数来创建一个Response对象，但通常更可能遇到的情况是，其他的API操作返回了一个Response对象。例如一个FetchEvent.respondWith，或者一个简单的fetch()。 详细定义请参见MDN官方文档Response。 构造函数 javascript let response new Response(body, init) 参数 body 可选，定义响应正文的对象。可以是null或以下任何一种类型： BufferSource FormData（即将支持） ReadableStream URLSearchParams USVString init 可选，包含要应用于Response的自定义设置。 status int 响应的状态码，例如200。 statusText string 与状态代码关联的状态消息，例如OK。 headers Headers ByteString Headers对象或要添加到响应头的ByteString键/值对。 属性 body ReadableStream 读取响应正文的只读流。 bodyUsed boolean 表示响应是否读取过正文。 headers Headers 响应的头信息。 ok boolean 表示响应是否成功（HTTP状态码的范围在200299）。 redirected boolean 表示响应是否来自一个重定向，如果是的话，它的URL列表将会有多个条目。 status int 响应的状态码 （例如200表示成功）。 statusText string 与响应状态码一致的状态信息（例如，OK对应200）。 url string 响应的URL，该值是任何重定向后获得的最终URL。 webSocket 暂不支持。

本节介绍Web应用防火墙（独享版） 网站反爬虫类问题。 开启网站反爬虫后，为什么有些请求被WAF拦截但查不到拦截记录？ 当您开启网站反爬虫后，WAF将对该域名的第一个访问请求返回一个JavaScript代码，然后根据浏览器解析执行结果返回的数据来判断是否为合法的浏览器或爬虫工具。 网站反爬虫正常的检测流程如下： 1. 客户端访问网站，实际请求首先发送到WAF上。 2. WAF返回JavaScript代码到客户端。 3. 客户端解析JavaScript代码，并将执行结果返回给WAF。步骤3 WAF根据客户端返回的结果判断客户端是否为合法的浏览器。 1. 如果合法，则WAF将请求发送给源站服务器。 2. 如果非法，则WAF产生告警日志。 注意 开启网站反爬虫，要求客户端浏览器具有JavaScript的解析能力，并开启了Cookie。 如果客户端不满足以上要求，则只能完成步骤1和步骤2，此时： 对于客户端，请求没有成功获取到页面。 对于WAF，客户端并没有发送解析JavaScript代码的执行结果，因此没有拦截日志记录。 请您排查业务侧是否存在这种场景。如果您的网站有非浏览器访问的场景，建议您关闭网站反爬虫功能。

本文主要介绍了DRDS的数据库连接统计查询功能。 使用场景 通过【数据库连接统计】页面可以看到关联MySQL的连接数。当连接数占用过高甚至达到连接限制时，说明数据库存在大量占用资源的语句，将导致关联MySQL不可用。 用户可以根据本页面的结果，使用多种方式分析以确定可能导致高连接使用率的问题查询原因。例如：通过优化查询来减少连接占用并改善性能，应用层进行有效地连接管理和重复使用数据库连接等方式。同时持续监视服务器性能，并根据需要调整关联MySQL设置，以保持最佳性能并避免高连接使用率。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 运维工具】，进入数据库锁表查询页面。然后在顶部菜单栏，选择区域和项目。 3. 单击导航栏的【数据库连接统计】，进入到数据库连接统计页面。 4. 在页面右上角选择【选择实例】下拉框（部分资源池位于左上角），可以选择需查看的目标实例信息。 说明 勾选【定时刷新】按钮，15秒刷新一次数据。

本文为您介绍DRDS V5.1.9.6020.2533版本的新增功能、体验改进、历史问题修复等版本更新信息。 新功能 576、599 新增UDAL SHOW TABLESIZE管理命令，用于查看数据表的表大小。详见：SHOW。 593 [DBProxy]支持直接连接DRDS实例计算节点时使用库名.表名语法。详见：开发限制。 613、643 新增全局Binlog日志管理功能。详见：全局Binlog日志管理和步骤一：购买DRDS实例。 628、648 支持为DRDS实例的节点绑定或解绑弹性IP。详见：绑定/解绑弹性IP。 626、645 支持在购买DRDS实例时，支持关联与DRDS实例相同网络的MySQL实例，提升操作效率。详见：步骤一：购买DRDS实例。 631 新增UDAL CHECKMETA CONSISTENT管理命令，用于容灾场景下，进行全局元数据一致性校验。详见：CHECK。 636 [DBProxy]支持使用reload命令来动态重新加载元数据，避免数据丢失的同时，无需重启数据库进程或整个集群，可有效降低对在线服务的影响。详见：动态加载元数据。

操作步骤 1. 安装和配置Logstash：首先需要安装Logstash，并进行相应的配置。可以从官方网站下载Logstash，并按照官方文档进行安装和配置。配置文件通常包括输入、过滤器和输出等部分。 2. 配置Kafka输入插件：在Logstash的配置文件中，需要添加Kafka输入插件的配置。Kafka输入插件可以从Kafka主题中消费数据，并将数据发送到Logstash进行处理。配置中需要指定Kafka的主题、Kafka集群的地址和其他相关参数。 3. 配置过滤器：在Logstash的配置文件中，可以添加各种过滤器插件来对从Kafka中消费的数据进行处理和转换。过滤器插件可以用于数据清洗、解析、转换、分割等操作。根据实际需求，可以选择合适的过滤器插件并进行相应的配置。 4. 配置输出插件：在Logstash的配置文件中，需要添加输出插件的配置，用于将处理后的数据发送到目标位置。可以选择将数据发送到Elasticsearch、MySQL、文件系统等目标位置。对于与Kafka对接，可以选择Kafka输出插件，将处理后的数据发送回Kafka主题中。 5. 启动Logstash：完成配置后，可以启动Logstash，它将根据配置文件中的设置，开始从Kafka主题中消费数据，并进行相应的处理和转发。

设置跨域资源共享 跨域资源共享CORS（CrossOrigin Resource Sharing）简称跨域访问，浏览器限制脚本内发起跨源HTTP请求，即同源策略。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。通过配置CORS，可以解决不同域相互访问的问题，CORS定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式。 OOS支持根据需求灵活配置CORS规则，实现允许或者拒绝相应的跨域请求。例如，您希望仅允许来源为www.ctyun.cn、跨域请求方法为GET的请求，则CORS规则配置如下： 避免使用顺序前缀的方式命名文件 当您上传大量文件时，如果使用顺序前缀（如时间戳或字母顺序）、日期、数字ID等可以被遍历的方式来命名文件，攻击者可通过总结规律以及编写脚本的方式获取全部的文件，最终造成数据泄露。强烈建议您通过向文件名添加十六进制哈希前缀或以反转文件名的方式命名文件，从而有效降低文件名被遍历的风险。

本节主要介绍CreateUser。 此操作用来创建新的IAM用户。 请求参数 名称 描述 是否必须 ::: Action CreateUser。 是 Version 请求版本。 取值：20100508。默认值为20100508。 否 UserName 创建IAM用户的用户名，用户名在账户中必须唯一。 类型：字符串 取值：1~64个字符组成，字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 是 Tags.member.N.Key&Tags.member.N.Value 附加到新创建IAM用户的标签列表。标签包括标签键和值。Tags.member.N.Key为标签键，Tags.member.N.Value为标签值。 类型：字符串 取值：Tags.member.N.Key由1~128位字符串组成，字符串符合表达式[p{L}p{Z}p{N}.:/+@]+；Tags.member.N.Value由0~256位字符串组成，字符串符合表达式[p{L}p{Z}p{N}.:/+@]。 注意 最多包含10个标签。如果任何一个标签无效或者如果超过每个用户允许的标签数，则整个请求将失败，并且不会创建用户。 否 响应结果 名称 描述 :: Arn IAM用户的资源名称。 UserName IAM用户的名称。 UserId IAM用户ID。 Tags.member.Key IAM用户标签键。 Tags.member.Value IAM用户标签值。 CreateDate IAM用户创建时间。

配置建议 如果您对自己的业务流量特征还不完全清楚，建议先切换到“观察”模式。一般情况下，建议您观察一至两周，然后根据攻击日志分析网站访问情况： 如果没有发现任何正常业务流量被拦截的记录，则可以切换到“拦截”模式启用正常防护。 如果发现攻击日志中存在正常业务流量被拦截的记录，建议调整防护等级或者设置规则白名单来避免正常业务的误拦截。配置流程详见规则白名单。 说明 业务操作方面应注意以下问题： 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。 正常业务的URL尽量不要使用一些特殊的关键字（UPDATE、SET等）作为路径，例如：“www.ctyun.cn/abc/update/mod.php?set1”。 如果业务中需要上传文件，不建议直接通过Web方式上传超过50M的文件，建议使用对象存储服务或者其他方式上传。 防护效果 开启Web基础防护功能后，模拟常见命令注入攻击测试域名，WAF拦截了此条攻击，拦截效果如下： 同时，您可以在防护事件页面，查看攻击的防护日志。

select from teledbpg order by md5(nickname); id nickname + 1 hello,pgxc 3 pg 1 teledb (3 rows) 排序也能用子查询。 plaintext teledb select from teledbpg order by (select id from teledbpg order by random() limit 1); id nickname + 1 teledb 1 hello,pgxc 3 pg (3 rows) null 值排序结果处理 plaintext teledb insert into teledbpg values(4,null); INSERT 0 1 null 值记录排在最前面。 plaintext teledb select from teledbpg order by nickname nulls first; id nickname + 4 1 hello,pgxc 3 pg 1 teledb (4 rows) null 值记录排在最后。 plaintext teledb select from teledbpg order by nickname nulls last; id nickname + 1 hello,pgxc 3 pg 1 teledb 4 (4 rows) 按拼音排序 使用convert 函数实现汉字按拼音进行排序。 plaintext teledb select from (values ('张三'), ('李四'),('陈五')) t(myname) order by convert(myname::bytea,'UTF8','GBK'); myname 陈五 李四 张三 (3 rows) 使用convertto 函数实现汉字按拼音进行排序。 plaintext teledb select from (values ('张三'), ('李四'),('陈五')) t(myname) order by convertto(myname,'GBK'); myname 陈五 李四 张三 (3 rows) 通过指定排序规则collact 来实现汉字按拼音进行排序。 plaintext teledb

select from teledbpg order by md5(nickname); id nickname + 1 hello,pgxc 3 pg 1 teledb (3 rows) 排序也能用子查询。 plaintext teledb select from teledbpg order by (select id from teledbpg order by random() limit 1); id nickname + 1 teledb 1 hello,pgxc 3 pg (3 rows) null 值排序结果处理 plaintext teledb insert into teledbpg values(4,null); INSERT 0 1 null 值记录排在最前面。 plaintext teledb select from teledbpg order by nickname nulls first; id nickname + 4 1 hello,pgxc 3 pg 1 teledb (4 rows) null 值记录排在最后。 plaintext teledb select from teledbpg order by nickname nulls last; id nickname + 1 hello,pgxc 3 pg 1 teledb 4 (4 rows) 按拼音排序 使用convert 函数实现汉字按拼音进行排序。 plaintext teledb select from (values ('张三'), ('李四'),('陈五')) t(myname) order by convert(myname::bytea,'UTF8','GBK'); myname 陈五 李四 张三 (3 rows) 使用convertto 函数实现汉字按拼音进行排序。 plaintext teledb select from (values ('张三'), ('李四'),('陈五')) t(myname) order by convertto(myname,'GBK'); myname 陈五 李四 张三 (3 rows) 通过指定排序规则collact 来实现汉字按拼音进行排序。 plaintext teledb

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 plaintext var config { accessKeyId: " ", secretAccessKey: " ", endpoint: " ", region: "ctyun",// region固定填ctyun }; var stsClient new AWS.STS(config); 获取临时token plaintext var params { Policy: {"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3::: ","arn:aws:s3::: /"]}}, RoleArn: "arn:aws:iam:::role/ ", RoleSessionName: " ", DurationSeconds: 900, // 过期时间 } stsClient.assumeRole(params, function (err, data) { if (err) { console.log("Error", err); } else { console.log("Success", data); } }); 请求参数 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s，范围15分钟至12小时 否

本章节为媒体存储跨域资源共享概述。 使用场景 跨域资源共享（CrossOrigin Resource Sharing），简称CORS，是一种浏览器安全规范机制。在网络请求中，当通信双方处于不同一个域时，由于同源策略的影响，双方是无法进行内容和脚本交互的。如果双方需要进行通信，则可以通过配置CORS来实现。 即在 HTTP 请求过程中，从一个域去请求另一个域的资源，只要协议、域名、端口有任何一个不相同，都会被浏览器当作是不同的域，这是浏览器为了保证跨域的安全而制定的一个安全策略，即同源策略。 为了更好的解释同源，您可以查看下表中相关的同源检测示例。以 示例URL（仅作为示例使用） 访问结果 原因 成功 协议、域名、端口都相同 成功 协议、域名、端口都相同 失败 域名、端口相同，协议不同 失败 协议、域名相同，端口不同 失败 协议、端口相同，域名不同 媒体存储针对跨域访问，提供跨域资源共享设置，对存储桶中的对象设置跨域访问 。

本文说明应用加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云应用加速产品将并入边缘安全加速平台，边缘安全加速平台边缘接入服务可提供应用加速和边缘DDoS防护能力，相比于应用加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购应用加速产品。如需订购，请订购其升级产品边缘安全加速平台边缘接入服务。 存量客户：应用加速产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台边缘接入服务；如需变更，请先退订应用加速产品，再通过订购边缘安全加速平台的边缘接入服务来满足您的需求。 更多边缘安全加速平台信息详见： 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

本文介绍应用加速产品优势。 丰富的资源覆盖 国内拥有1800+个节点覆盖，超过150T的业务承载能力，覆盖主要省份和城市的多个运营商。 天翼云网内节点可根据需求随时增加，天翼云网外节点通过合作伙伴统一对外提供服务。 充足的网络带宽 网络节点架构在精品IP网络CN2和163上，网络带宽的稳定性能够充分保障。 所有节点通过双路连接IP网络，同时连接CN2和163来互为备份。所有节点和IDC出口并行，避免峰值带宽拥堵。 极致的加速效果 实时探测：节点之间根据规划实时进行探测，所有节点实时探测源站，并实时上报探测结果。 智能选路：根据全网节点探测结果，基于自研算法，实现第一公里+中间一公里智能选路。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 安全可靠的传输 通过IP黑白名单技术进行访问控制，限制非法用户访问。 采用私有传输协议，实现基于传输层TCP/UDP协议的加速，不解析传输内容，保障数据安全传输。 智能切换故障链路，保证数据传输可靠性。 完善的售后服务 一对一专属项目经理，724小时技术支持。 全网节点实时监控，基于质量的精准调度。 全面的源站性能监控及多种负载均衡策略，保障服务不中断。

记录集 记录集（Record Set）是指一组资源记录的集合，这些资源记录属于同一类型且域名相同。 当您已经创建完域名，需要对其进行域名级别的拓展或记录域名的详细信息，通过添加记录集来实现。 内网DNS支持的记录集类型及使用场景如下表所示。 表记录集各类型使用场景说明 记录集类型 使用场景 描述 A 内网域名 指定域名对应的IPv4地址，用于将域名路由到IPv4地址。 CNAME 内网域名 指定域名的别名，用于将多个域名映射到同一主机上。 MX 内网域名 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 AAAA 内网域名 指定域名对应的IPv6地址，用于将域名路由到IPv6地址。 TXT 内网域名 用于对域名进行标识和说明，可填写任意的信息。主要用于以下场景： 记录DKIM的公钥，用于反电子邮件欺诈。 用于记录域名所有者身份信息，用于域名找回。 SRV 内网域名 记录了具体某台计算机对外提供哪些服务，供用户查询使用。 SOA 内网域名 指定该域名的主权威DNS服务器，系统默认创建，不支持手工创建。 PTR 内网域名 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云主机。

本小节介绍 云解析云解析实现智能解析最佳实践。 跨运营商或跨区域进行访问： 中国大陆地区实现跨运营商进行访问，大多数都会使用多个运营商IP地址，由于传统DNS解析是随机或优选的方式将其中一个IP地址返回给访问用户，这种情况下容易造成访问用户跨网或跨地域访问速度慢或访问质量差，因此企业可通过 DNS 智能解析的配置来实现用户的就近访问。 前提条件 1个可访问的域名，例如test.ctyun.cn。 3个运营商 IP 地址，例如：【联通】线路解析至 1.1.1.1、【移动】线路解析至 2.2.2.2、【电信】线路解析至 3.3.3.3。 操作步骤 1. 登录天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，创建主机名为test.ctyun.cn的子记录。例如 test. ctyun.cn 设置“默认”线路解析到1.1.1.1，“电信”线路解析到2.2.2.2。 4. 配置后实现效果，电信运营商用户访问将返回2.2.2.2的 IP 地址，非电信运营商用户访问将返回1.1.1.1的IP地址。

方法二：文件验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过文件验证方式来验证域名归属权。 1. 在您的主域名源站根目录下，创建文件名为：dnsverify.txt的文件（文件名为固定值），文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准），TXT记录值为根据域名随机生成。 2. 文件在主域名源站根目录下创建完成后，即可进行访问验证（示例的www.ctcdn.cn的文件验证需要访问 windows验证： linux验证： 3. 如访问展示的文件内容和天翼云直播控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云直播控制台，在【添加域名】界面单击【验证】，验证通过后可以正常操作新增域名。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud，VPC） 通过VPC服务，创建VPC，用户数据中心才可以通过VPN上云。 弹性云主机（Elastic Cloud Server，ECS） 通过ECS服务，定义安全组中的规则，将VPC中的弹性云主机划分成不同的安全域，以提升弹性云主机访问的安全性。 企业路由器（Enterprise Router，ER） 通过企业路由器ER，用户数据中心上云可以实现VPN和专线双通道互备。 仅企业版VPN网关支持，经典版VPN网关不支持。 NAT网关（NAT Gateway） 通过NAT网关服务，可以实现用户数据中心服务器访问公网或为公网提供服务。 弹性公网IP（EIP） 通过弹性公网IP，可以实现VPN网关通过公网和对端网关进行网络互通。 仅企业版VPN支持，经典版VPN不支持。 云监控（Cloud Eye） 通过云监控服务，查看VPN资源的监控数据，还可以获取可视化监控图表。 统一身份认证服务（Identity and Access Management，IAM） 通过IAM服务，针对您在云上创建的VPN资源，向不同用户设置不同的使用权限，可以帮助您安全地控制VPN资源的访问权限。 标签管理服务（Tag Management Service，TMS） 使用标签来标识虚拟专用网络，便于分类和搜索。 云审计服务（Cloud Trace Service，CTS） 记录与VPN服务相关的操作事件。

查看HDFS负载变化情况，适当降低HDFS负载 20.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，单击图表区域右上角的下拉菜单，选择“定制”，单击“RPC”，在弹出的对话框中选择“NameNode RPC队列平均时间”，单击“确定”。 21.单击，进入监控详细信息界面。 22.设置监控显示的时间段，从告警产生的时间的前5天开始，到告警产生时刻结束。单击“确定”按钮。 23.在“NameNode RPC队列平均时间”监控中，查看该监控是否有开始急剧增加的时间点。 是，执行步骤24。 否，执行步骤27。 24.确认并排查在该时间点，是否有新增任务大量访问HDFS，确认该任务是否可以调优，减少对HDFS的访问。 25.如果在该时间点有执行Balancer，则可以停止Balancer，或指定节点执行Balancer任务，来降低对HDFS的负载。 26.等待1小时，查看该告警是否自动消除。 是，处理结束。 否，执行步骤27。 收集故障信息 27.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 28.在“服务”勾选待操作集群的HDFS节点信息。 29.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 30.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节主要介绍 ALM12078 omm密码过期。 告警解释 系统每天零点开始，每8小时检测当前系统中omm密码是否过期，如果密码过期，则发送告警。 当系统中omm密码过期的期限修改，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12078 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 omm密码过期，Manager各节点互信不可用，无法对服务提供管理功能。 可能原因 omm密码过期。 处理步骤 检查系统中omm密码是否过期 1.以root用户登录集群故障节点。 执行chage l omm命令来查看当前omm用户密码设置信息。 2.查找“Password expires”对应值，查看密码设置是否过期。 说明 如果参数值为“never”，则代表永不过期。 是，执行步骤3。 否，执行步骤4。 3.执行chage M '天数' omm命令设置 omm 密码的有效天数，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。