本节主要介绍数据恢复。 恢复方案 GeminiDB Influx支持数据恢复，您可以根据业务需要选择合适的恢复方法。 表1 恢复方案 恢复方案 使用场景 恢复备份到新实例 使用已有的备份文件恢复实例数据到新建实例。 恢复备份到新实例 操作场景 GeminiDB Influx支持使用已有的自动备份或手动备份恢复实例数据到新建实例，恢复后的数据与该备份生成时的实例数据一致。 选择通过备份文件恢复到实例上，会从OBS备份空间中将该备份文件下载到实例上进行全量恢复，恢复时长和实例的数据量有关。 使用须知 恢复时，新实例节点数应大于等于原实例的节点数。 恢复时，新实例的空间大小必须大于或等于原实例的空间大小。 当前不支持增量备份，PITR功能。 当前不支持恢复到当前实例。 恢复时，可以进行规格缩容，但是缩容的内存规格大小应大于等于备份时实际内存使用大小。 备份恢复到新实例使用原实例的参数组恢复，保证恢复出来的参数跟原来实例的一致。 单节点暂不支持自动备份恢复实例数据到新建实例。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 选择目标实例，进行恢复备份。 方法一 在“实例管理”页面，单击目标实例的名称。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“恢复”。 图1 备份恢复 方法二 在“备份管理”页面，单击目标备份对应操作列中的“恢复”。 图2 备份管理 4. 在“恢复实例”弹出框中确认当前实例信息及恢复方式，单击“确定”，跳转到“恢复到新数据库实例”的服务选型页面。 图3 恢复到新实例 新实例的接口类型和版本，默认与原实例相同，不可修改。 系统会根据所选择的备份文件大小自动去计算恢复新实例所需的最小存储空间，用户选择容量大小必须为整数，可根据不同的性能规格选择对应的存储空间。 数据库密码需重新设置。 其他参数，用户可修改，具体请参见购买GeminiDB Influx实例。 5. 查看恢复结果。 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 创建或恢复完成后，系统会自动执行一次全量备份。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【缓存过期时间】模块，单击【增加规则】，弹出的对话框中，添加缓存时间规则。 （1）选择【类型】，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 后缀名：指文件后缀名，可单击选择后缀名，如jpg，png。若后缀名不在选择清单内，可在【其他文件】框输入其他后缀名。 目录：指具体目录，例如值为：/a，表示目录前缀为/a/的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 （2）选择【缓存规则】，默认为强制缓存。 如选择强制缓存，则即使源站返回CacheControl：nocache/nostore/private等不缓存头或类似CacheControl：maxagen (n>0) 的缓存头时，CDN节点仍将按照预设的规则及时间缓存文件。 注意 如选择强制缓存，且过期时间设置为0，则无论源站如何响应，CDN节点均不缓存该文件。 如选择优先遵循源站，则源站如果返回CacheControl：nocache/nostore/private等不缓存头或CacheControl：maxagen (n>0)、Expires响应头时，优先按照源站响应头对应的缓存时间生效。 如选择不缓存，则无论源站返回任何缓存相关响应头，CDN节点均不缓存。 （3）选择【过期时间】单位，如秒、分钟、小时、天。再填写对应的过期时间。 （4）【缓存参数】默认忽略参数，如需要带问号后参数缓存，请选择不忽略参数。 注意 对于可缓存的文件，CDN节点通常会设置缓存key（缓存key为文件在CDN节点上缓存的唯一ID）。默认情况下，CDN节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。如果原始URL中携带问号后参数，且参数不同时源站指向不同文件，则选择不忽略参数，避免缓存错误。 （5）填写【权重】。权重即优先级，支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。 6. 单击【确定】，完成配置。

本小节介绍如何购买DDoS高防IP实例。 DDoS高防IP不支持试用。若需要使用DDoS高防IP，请参照本文订购步骤进行购买。 操作步骤 1. 使用天翼云账号登录DDoS高防IP管理控制台。 2. 单击“立即购买”进入订购页面。 3. 配置相关参数，根据需求进行购买。 参数 说明 基本信息 IP个数 默认为1个高防IP，不支持修改。 基本信息 接入方式 支持静态防护和动态防护。 静态防护：提供1个高防IP，在一个高防中心使用。 动态防护：提供1个高防IP，并且在多个高防中心使用，实现负载调度近源清洗。 基本信息 高防节点 仅“静态防护”接入方式需要选择高防节点。 当前提供了华北地区、华东地区1、华东地区2、华南地区共4个节点。 源站端口根据选择的防护节点有如下规则： 华北 1：可以选择任意端口进行转发； 华东 1：可以选择任意端口进行转发； 华东 2：可以选择任意端口进行转发； 华南 1：可以选择任意端口进行转发； 网站类业务：限定选择80、8080、8081、443、7443、8443之一。 非网站类业务：可以选择任意端口进行转发。 产品配置 业务类型 选择业务类型，支持非网站类和网站类。 网站类业务还需要填写域名个数。默认提供50个免费域名，可按需付费增加。增加步长为5个，最多支持200个域名。 产品配置 保底防护带宽 选择保底防护带宽，保底防护带宽包月计费。 注意 保底防护带宽选择100Gbps及以上时只能包年订购，支持1年~5年。 产品配置 回源业务带宽 默认赠送100Mbps回源带宽，可按需付费增加。 产品配置 端口数量 默认赠送50个端口，可按需付费增加。增加步长为5个，最多支持100个。 订购时长 可以单击加减号调整订购时长，步长为1；也可以在其中直接输入。 自动续订 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为1个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 企业/用户名称 该信息仅用于建立通知与防护功能，不做他用。 4. 在页面左下角确认配置费用后，勾选“我已阅读，理解并接受《天翼云高防IP产品服务协议》”，单击“立即订购”。 5. 进入付款页面，完成付款。

本章节主要介绍如何扩容集群。 MRS的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 MRS集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。 操作步骤 1.登录MRS管理控制台。 2.选择 “集群列表 > 现有集群” ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。 只有运行中的集群才能进行扩容操作。 4.设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考添加Task节点配置Task节点。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

《工业和信息化部关于进一步落实网站备案信息真实性核验工作方案(试行)》工信部电管〔2010〕64号 为切实保证网站备案信息的真实性，落实《工业和信息化部关于进一步深入整治手机淫秽色情专项行动工作方案》中的要求：“基础电信企业和各接入服务商在向通信管理局提交网站申请备案之前，要对主办者身份信息当面核验、留存有效证件复印件，要对网站主体信息、联系方式和接入信息等进行审查”。依据《互联网信息服务管理办法》（国务院令第292号）、《非经营性互联网信息服务备案管理办法》（信息产业部令第33号）的相关规定，制定网站备案信息真实性核验工作方案。 一、核验内容 接入服务单位根据相关网站的委托代为履行备案、备案变更等手续时，应对网站主办者提交的主体信息、联系方式、网站信息，以及本单位提交的接入信息的真实性进行核验。 1.网站主办者（主体）信息 网站主办者是指互联网信息服务提供者，包括单位和个人两类。 （1）网站主办者为单位，核验证件为： 如网站主办者为机关、事业单位、社会团体，组织机构代码证书原件为核验其单位资质的第一证件，在没有组织机构代码证书的情况下，可核验事业法人证书或社团法人证书等原件。 如网站主办者为企业，核验工商营业执照或组织机构代码证书等原件。 如网站主办者为军队，核验军队代号证书原件。 网站负责人的个人证件：如网站负责人为中国公民，身份证原件为核验其身份的第一证件，在没有身份证的情况下，可核验户口簿、军官证、台胞证等原件；如网站负责人非中国公民，则核验其护照原件。 （2）网站主办者为个人，核验证件为： 如网站主办者为中国公民，身份证原件为核验其身份的第一证件，在没有身份证的情况下，可核验户口簿、军官证、台胞证等原件。 如网站主办者非中国公民，则核验其护照原件。 （3）网站负责人的定义：若网站主办者为单位，网站负责人是指法定代表人或单位委派具体负责网站的部门负责人；若网站主办者为个人，网站负责人为其本人。 2.联系方式 如网站主办者为单位，联系方式是指网站负责人手机号码、办公电话、电子邮箱、通信地址；如网站主办者为个人，联系方式是指网站负责人手机号码、办公电话或住宅电话、电子邮箱、通信地址。 3.网站信息 网站名称、网站域名、涉及需前置审批或专项审批内容、网站服务内容/项目。 4.接入信息 接入服务提供者名称、接入方式、服务器放置地点、网站IP地址。 二、核验、审核、核查规程 （一）备案信息真实性责任主体 接入服务单位根据相关网站的委托代为履行备案、备案变更等手续时，核验主体为接入服务单位，包括：基础电信企业省分公司（含市、县级分公司）、互联网接入服务单位（IDC、ISP）、公益性互联单位等。 审核主体为各省、自治区、直辖市通信管理局。 核查主体为工业和信息化部（委托国家互联网备案管理支撑中心，以下简称“备案中心”）。 （二）备案信息真实性核验、审核、核查规程 网站备案信息真实性核验、审核工作流程图见附件。 1.接入服务单位网站备案核验规程 （1）网站主办者登录接入服务单位备案系统录入网站备案信息。 （2）接入服务单位受理网站主办者提交信息后，对主体信息、联系方式等信息进行预核验：初步判定主体信息是否真实，通过电话、邮件等途径核验联系方式是否正确。预核验后，接入服务单位应向网站主办者发送现场核验通知或信息退回的短信提示：“您提交的网站备案信息已通过预核验，请在1个月内由网站负责人本人携带有关证件原件到我单位备案现场办理核验手续”或“您提交的网站备案信息未通过预核验，请修改后重新提交”。预核验工作必须在主办者提交备案信息后5个工作日内完成。 （3）网站主办者接到通知后，由网站负责人本人携带核验所需证件原件、材料到接入服务单位备案现场办理核验手续。 （4）接入服务单位在本单位备案现场采集并留存网站负责人彩色正面免冠照（电子照片规格：800×600像素）。备案中心统一制作、提供带有标识的幕布作为拍照背景，照片应显示拍照时间和背景标识。 （5）接入服务单位备案人员利用公安、质检、工商等相关部门提供的居民身份证、组织机构代码证、工商营业执照等信息源，核验网站主办者提供证件原件的真实性。同时通过网站负责人身份证原件核验身份证与当事人是否一致。核验无误，留存身份证明和单位有效证件复印件。 接入服务单位备案人员登录本单位备案系统，依据证件原件内容对网站主办者网上提交的主体信息进行核验：核验证件持有者、证件类型、证件内容与备案系统中录入的网站备案信息是否完全一致，不一致不予受理；依据网站主办者提交的域名证书或域名注册机构网站公共查询信息，核验网站域名所有者与网站主办者身份的一致性，不一致不予受理；依据本单位对网站的实际接入情况，准确录入网站备案接入信息各项内容。 （6）若核验无误，接入服务单位备案人员填写统一格式的《网站备案信息真实性核验单》（备案中心负责制订《网站备案信息真实性核验单》格式）；若发现备案信息有误，现场核实修改，并在《网站备案信息真实性核验单》中进行记录。《网站备案信息真实性核验单》一式两份：一份接入服务单位留存，一份上报网站主体所在地通信管理局，加盖接入服务单位公章。网站主办者和接入服务单位同时签订信息安全管理协议书。 （7）在确认备案信息全部核验无误后，接入服务单位通过本单位备案系统向主体所在地通信管理局备案系统提交网站备案信息，并提交《网站备案信息真实性核验单》纸制原件、传真件或电子扫描件。 2.省通信管理局审核规程 各省、自治区、直辖市通信管理局登录省局备案系统，在二十个工作日内对接入服务单位提交备案信息进行审核。审核合格下发网站备案号，接入服务单位实施网站接入；不合格将备案信息退回接入服务单位系统，由接入服务单位重新核验。 3.备案中心核查规程 （1）备案中心受工业和信息化部委托，建设网站备案信息校验平台，对各通信管理局提交网站备案信息中的身份证信息进行全量自动核查。结合人工电话抽查，每月对备案系统提交的网站备案信息进行准确性核查和抽样评估并反馈情况。 （2）备案中心每季度对部备案系统中存量网站备案信息准确率、备案率分省分接入商进行核查和抽样评估并反馈情况。 三、工作要求 （一）接入服务单位核验工作要求 1.组织保障和制度完善要求 各接入服务单位应在2010年2月底前设立现场核验网站备案信息部门，专门负责网站备案信息真实性核验工作，并实行单位领导负责制。应建立本单位的备案业务规范，备案工作考核制度。明确备案人员的工作责任，对备案人员业务能力实行年度考核，将日常备案工作质量作为考核的重要指标。 各接入服务单位应在2010年3月底前正式实施网站备案信息当面核验，并将工作开展情况报许可证发证机关和单位注册所在地通信管理局。 基础电信企业应在2010年4月份对租用本单位电信资源从事接入业务的接入服务单位是否设立当面核验人员、履行当面核验备案信息的情况进行检查，对未履行当面核验责任的，不得为其提供电信资源。 2.业务明示要求 接入服务单位在业务经营中应向网站主办者明示开办网站要依法办理备案手续、网站备案流程、需提供的证件、材料清单及网站备案有关注意事项。 3.业务合同内容要求 接入服务单位应在与网站主办者签订业务合同中，明文要求：“依据《非经营性互联网备案管理办法》第二十三条规定，如备案信息不真实，将关闭网站并注销备案。请您承诺并确认：您提交的所有备案信息真实有效，当您的备案信息发生变化时请及时到备案系统中提交更新信息，如因未及时更新而导致备案信息不准确，我公司有权依法对接入网站进行关闭处理。”双方签字、单位盖章确认。 4.信息安全管理责任要求 接入服务单位建立网站主办者资料档案，妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议，保证信息不泄露，承担对网站主办者提交材料的信息安全保密管理责任。上述资料至少留存5年以上，以备通信行业主管部门依法进行检查。 5.网站备案信息更新要求 接入服务单位应做好日常回访核查工作，确保网站备案信息变更后，网站主办者及时更新主体信息、联系方式、网站信息。同时接入服务单位应根据网站接入变化情况，及时更新接入信息，并配合主管部门做好网站备案信息真实性核查工作。因未开展日常回访核查工作导致接入网站备案信息不准确的接入服务单位，主管部门依法对其进行处罚。 6.存量网站备案信息核验要求 对备案信息真实性当面核验工作正式启动前接入的网站，各接入服务单位要在2010年2月底前制定备案信息真实性核验工作详细计划，报许可证发证机关和单位注册所在地通信管理局，并在2010年9月底前完成全部网站的备案信息真实性核验。 （二）省通信管理局审核工作要求 1.做好日常审核工作 各通信管理局应做好日常网站备案信息真实性审核工作，保证对重点信息（营业执照、身份证等）的逐一细致审核。二期备案系统升级改造后可由各通信管理局审核人员用口令登录接入服务单位系统抽检审核证件原件，同时检查接入服务单位上交的《网站备案信息真实性核验单》。 2.检查“当面核验”工作开展情况 各通信管理局对接入服务单位当面核验网站备案信息的部门设立和工作制度完善情况进行指导和检查。根据接入服务单位保存的真实性核验证明材料，对接入服务单位“当面核验”工作的开展情况、接入服务单位提交备案信息的准确性进行定期检查或不定期抽查，对发现未执行“当面核验”或提供虚假信息的，应严肃处理。同时将日常检查考核结果作为许可证年检重要参考。 （三）备案中心核查工作要求 1.新增网站备案信息核查 备案中心每月对新提交的网站备案信息进行准确性抽查。对备案主体信息中身份证、组织机构代码证等信息进行重点抽查核查。 2.存量网站备案信息核查 备案中心按季度对系统存量网站备案信息进行准确性核查，对各接入服务单位真实性核验网站备案信息工作开展情况、完成进度、工作质量进行核查和抽查评估。 3.制定核查标准和监督评估办法 备案中心根据工业和信息化部的委托，适时制订、细化、完善网站备案信息核查标准和监督评估办法，并向各通信管理局、接入服务单位发布。 4.加强对工作开展情况的督导、统计 备案中心根据工业和信息化部的委托，对各单位落实网站备案信息真实性核验工作开展情况进行指导帮助和监督评估。加强对各单位落实网站备案信息真实性核验工作情况的分类统计，开展对各地通信管理局行政处罚情况汇总等工作。 5.开展网站备案业务培训 备案中心根据工业和信息化部的委托，编写、制订网站备案培训资料，组织开展面向各接入服务单位的全国性网站备案培训工作，对应掌握的网站备案相关政策法规、业务知识进行统一讲解。 四、问责 各省、自治区、直辖市通信管理局根据属地化管理原则，对未按《工业和信息化部关于进一步深入整治手机淫秽色情专项行动工作方案》中提出的“对网站主办者身份信息当面核验、留存有效证件复印件”要求开展工作，未认真开展网站备案信息真实性核验工作，提交不真实网站备案信息的接入服务单位，依据《非经营性互联网信息服务备案管理办法》第十条和第二十四条的规定依法处罚，责令限期改正。

版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 × 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 免费证书 支持申请免费证书。 × √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 防护峰值：10Gbps 防护次数：1次 防护峰值：20Gbps 防护次数：2次 防护峰值：40Gbps 防护次数：2次 防护峰值：平台级尽力防 防护次数：2 防护峰值：平台级尽力防 防护次数：不限次数 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 智能防护 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 × 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 × 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志的报表查询 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 × 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 × 付费支持 付费支持 付费支持 付费支持

本文介绍查询窗口界面的相关功能，用户可以在此界面执行SQL查询、编写、调试SQL代码以及查看、编辑、分析查询结果。查询窗口提供了一个集成的环境，支持直接与数据库进行交互并进行数据操作。 前提条件 已将可用的实例添加至组织，添加云数据库详见添加云数据库，添加公网/直连数据库详见添加公网/直连数据库。 已准备好该实例的数据库账号、密码。 注意事项 查询结果分页显示，每个分页默认展示20行数据，单次查询最大返回3000行，暂不支持用户修改该最大行数的默认值。 针对单个实例，最多可同时打开10个查询窗口。 单次查询最大支持1000000个字符的SQL内容。 对于MySQL系、SQL Server系的实例需要选择到库级别进行操作，对于PostgreSQL系的实例需要选择到模式级别进行操作，为了叙述方便，本页面的说明皆以MySQL实例为标准。 操作步骤 1. 登录数据管理服务DMS。 2. 在首页功能简介里点击实例列表按钮 ，打开实例列表。 3. 在实例列表弹窗里，点击展开目标实例，显示库/模式列表。 4. 右键单击目标库或者目标模式后打开悬浮窗，点击查询窗口进入；或双击目标库/模式打开查询窗口。 查询窗口界面介绍 表1 查询窗口界面介绍 序号 区域 说明 ① 团队信息区域 展示当前实例所属的团队名称。 ② 打开新标签页 点击，可打开一个当前选中数据库的新的查询标签页，最多可同时打开10个标签页。查询标签页的名称与脚本的名称保持一致。 ③ 实例信息区域 展示实例的IP、端口、实例名称等信息，鼠标悬浮可展示完整的信息。 ④ 功能按钮区域 执行：执行标签页内的SQL语句，也支持选择部分SQL语句执行。设定了F8为快捷键。 保存：将当前查询窗口中的所有SQL语句保存至我的脚本，方便下次使用，并支持对脚本进行命名。 格式化：优化选中的SQL语句的展示格式，增强可读性。 SQL诊断：提供对SQL执行计划进行诊断分析，并给出改写后的SQL以及索引优化建议。 预估执行计划：在SQL语句执行前预测SQL语句执行时可能采用的逻辑步骤和访问路径，当前仅支持MySQL和PostgreSQL数据库。 实际执行计划：在SQL语句执行时由数据库引擎生成，反映了实际执行的确切步骤和细节，当前仅支持MySQL和PostgreSQL数据库。 语法帮助：提供了涵盖表/索引、show语句、视图、函数/存储过程、触发器、事件、权限相关的语法，以及select、update、insert、delete、replace等常用语法。 设置：可以对查询窗口标签页内的字体大小、结果集展示方式、语法提示功能开启状态等选项进行设置。 SQL生成：SQL生成提供了自然语言转换为sql语句的智能AI功能。详见SQL生成。 注意 查询窗口暂不支持会话保持功能，依赖于SAVEPOINT、HANDLER等的事务性语句请一次性执行。 SQL诊断功能支持MySQL 5.7和8.0版本、PostgreSQL和SQL Server数据库。 语法帮助目前支持MySQL、PostgreSQL数据库。 管理员模式：此模式下执行SQL，不受风险、规范的限制，请谨慎操作，具体介绍参考管理员模式。 ⑤ 数据库用户区域 展示当前登录的数据库用户，可以进行退出或切换账号操作。 ：跳转到对象列表界面。 ：进入全屏操作。 ⑥ 数据库信息区域 展示当前选择的数据库信息，点击下拉列表可以切换到当前实例下其他的数据库，点击右侧的复制图标，可以复制完整的数据源信息。 ⑦ 可视化操作区域 该区域提供可视化管理数据库的功能： 表：分页展示当前数据库中的所有表信息，包括表名、表的大小、表的字段、字段类型、索引。右键单击目标表名称时，可进行打开表、新建表、编辑表、查看表详情、重命名表、复制表名、删除表等操作。且支持对表名进行搜索，修改表数据后，可以点击刷新按钮更新元数据。双击表名可于查询标签页生成简单的查询语句。 可编程对象：可查看当前数据库中的所有的可编程对象，包括视图、存储过程、函数、事件、触发器。右键单击可编程对象名称时，可进行创建、查看、编辑、删除等操作。 我的脚本：分页展示脚本列表，右键脚本名称可以对脚本进行查看、编辑、删除、复制、重命名等操作。 ⑧ 命令执行区域 支持如下功能： SQL执行：支持执行单条语句或批量执行，批量执行最多一次执行100条语句，每条语句对应一个结果集。 中断执行：SQL执行过程中可以单击取消查询中断SQL的执行。 语法高亮：以不同颜色显示不同的语法元素，尤其会对关键字进行区别显示，提高SQL语句可读性。 元数据智能提示：根据用户输入的内容以及数据库的语法规则，自动提示对应的元数据信息。 ⑨ 执行结果区域 该区域主要展示执行历史、执行信息、结果集等信息。 执行历史：分页展示当前用户在当前数据库下的SQL语句执行记录，默认展示20条，且支持通过执行时间进行搜索。 执行信息：展示每次点击执行按钮之后的执行结果信息，可以选择覆盖展示或者追加展示。对于DQL类的查询语句，执行信息界面不直接展示结果信息，可在结果集tab查看。 结果集：当执行DQL类语句时将在结果集界面展示结果信息。支持新增、修改、删除、导出等操作，同时还支持对查询结果进行关键字搜索、高亮展示、展示界面调整等功能。

本章主要介绍告警规则详情页面操作。 告警规则详情 操作场景 查看告警规则配置信息，新增、修改、删除告警规则。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“监控与告警 > 告警规则”，点击需要查看或变更的告警规则文件名，跳转至告警规则文件详情，如图所示： 5. “规则信息”一节展示所有告警规则分组，点击告警规则分组名，可展开组下告警规则。继续点击告警规则名，可展开单条告警规则的具体信息，如图所示： 6. 点击告警规则组名右侧新增按钮，可新增告警规则，如图所示： 7. 点击告警规则名右侧编辑按钮，可编辑告警规则信息。点击告警规则名右侧删除按钮，可删除告警规则。 8. 对告警规则的编辑操作，需要点击右上角“同步”按钮，将告警配置同步到Prometheus实例并加载生效，如图所示： 说明 1. 告警规则各字段说明如下： 1. 规则类型：分为告警、记录两种类型。告警类型用于配置异常告警，当监控指标触发告警表达式时，触发告警。记录类型用于预聚合监控指标，依照表达式聚合计算。 2. 持续时间：仅“告警”类型具有，当表达式成立且持续超过所设时间，告警将会触发。如果希望表达式成立后立即触发告警，可设置为0。需注意，持续时间设置过小，可能导致频繁无意义报警。 3. 表达式：填写PromQL语法的表达式。 4. 标签：预设字段mozialertlevel，用于定义告警级别，四个告警级别为WARNING（警告）、ERROR（错误）、SEVERITY（严重）、DISASTER（灾难）。例如，配置标签mozialertlevel为SEVERITY，触发告警后，在“告警历史”页面，告警的级别为“严重”。 5. 标注：预设标注字段description，用于定义告警信息，触发告警后，在“告警历史”页面，description字段对应的信息，将显示为“告警信息”。 2. 预设的记录类型告警规则，与系统功能相关，不建议用户自行修改。 3. 对告警规则组、告警规则的所有新增、修改、删除操作，都需要通过“同步”按钮，同步到监控组件并生效。 4. 可以勾选一批告警规则文件导出为压缩文件，压缩文件可再次用于告警规则导入，导入操作会直接同步到监控组件并生效，不需要额外的同步操作。需要注意，导入过程，同名告警规则文件会被覆盖。 5. 可以勾选一批告警规则文件进行删除，删除操作会直接同步到监控组件并生效，不需要额外的同步操作。

告警管理中的静默规则能够有效聚合告警信息，避免出现告警风暴现象。您可通过配置静默规则，自定义与告警事件相匹配的筛选条件，当满足相应条件时，符合要求的告警事件将被静默处理，不再进入后续的通知流程。 新建静默策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理>静默策略。 2. 在静默策略页面单击新建静默策略。 3. 在新建静默策略页面设置静默策略名称。 4. 在静默事件匹配规则区域设置静默事件的匹配规则： 注意 静默策略优先于通知策略，即已被静默策略匹配到的告警事件将会被静默，无法再进行通知策略的事件匹配。创建通知策略的操作，请参见【通知策略】。 1. 选择数据来源。 指定来源：静默策略会针对指定来源（集成）的告警事件进行匹配规则过滤。 无预设来源：静默策略会针对所有告警事件进行匹配规则过滤。 2. 设置匹配规则表达式，您可以自定义标签或选择已有的标签。 已有的标签包括： 告警规则表达式指标中携带的标签。 系统自带的默认标签，默认标签说明如下。 分类 标签 说明 常用字段 alertname 告警规则名称 常用字段 carmsobjid 告警对象ID 常用字段 carmsobjtype 告警对象类型 常用字段 carmsobjname 告警对象名称 常用字段 alertGroup 告警规则的group属性 系统预置字段 ctyunarmsregioncode 资源池编码 系统预置字段 ctyunarmsregionname 资源池名称 系统预置字段 ctyunarmstenantcode 租户编码 系统预置字段 ctyunarmstenantname 租户名称 系统预置字段 ctyunarmsalertlevel 告警等级： 1一般 2次要 3重要 4紧急 系统预置字段 ctyunarmsalertruleid 告警规则ID 系统预置字段 ctyunarmsnotifystrategyid 告警通知策略ID 系统预置字段 ctyunarmsintegrationname 集成名称，ARMS默认上报的告警集成名称为ARMSDEFAULT。 系统预置字段 ctyunarmsalertrulefrequency 告警通知频率 说明 如果需同时满足多个匹配规则才告警，则单击添加条件编辑第二条匹配规则条件。 如果需满足任意一个匹配告警事件规则就告警，则单击添加规则编辑第二条匹配规则。 3. 设置静默规则生效时间。 持续生效 循环生效：选择每天或每周循环，然后单击添加，设置静默规则生效时间段。 自定义时间段：单击添加，自定义设置静默规则生效时间段。 4. 设置完成后，单击确认。

告警管理中的静默规则能够有效聚合告警信息，避免出现告警风暴现象。您可通过配置静默规则，自定义与告警事件相匹配的筛选条件，当满足相应条件时，符合要求的告警事件将被静默处理，不再进入后续的通知流程。 新建静默策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理>静默策略。 2. 在静默策略页面单击新建静默策略。 3. 在新建静默策略页面设置静默策略名称。 4. 在静默事件匹配规则区域设置静默事件的匹配规则： 注意 静默策略优先于通知策略，即已被静默策略匹配到的告警事件将会被静默，无法再进行通知策略的事件匹配。创建通知策略的操作，请参见【通知策略】。 1. 选择数据来源。 指定来源：静默策略会针对指定来源（集成）的告警事件进行匹配规则过滤。 无预设来源：静默策略会针对所有告警事件进行匹配规则过滤。 2. 设置匹配规则表达式，您可以自定义标签或选择已有的标签。 已有的标签包括： 告警规则表达式指标中携带的标签。 系统自带的默认标签，默认标签说明如下。 分类 标签 说明 常用字段 alertname 告警规则名称 常用字段 carmsobjid 告警对象ID 常用字段 carmsobjtype 告警对象类型 常用字段 carmsobjname 告警对象名称 常用字段 alertGroup 告警规则的group属性 系统预置字段 ctyunarmsregioncode 资源池编码 系统预置字段 ctyunarmsregionname 资源池名称 系统预置字段 ctyunarmstenantcode 租户编码 系统预置字段 ctyunarmstenantname 租户名称 系统预置字段 ctyunarmsalertlevel 告警等级： 1一般 2次要 3重要 4紧急 系统预置字段 ctyunarmsalertruleid 告警规则ID 系统预置字段 ctyunarmsnotifystrategyid 告警通知策略ID 系统预置字段 ctyunarmsintegrationname 集成名称，ARMS默认上报的告警集成名称为ARMSDEFAULT。 系统预置字段 ctyunarmsalertrulefrequency 告警通知频率 说明 如果需同时满足多个匹配规则才告警，则单击添加条件编辑第二条匹配规则条件。 如果需满足任意一个匹配告警事件规则就告警，则单击添加规则编辑第二条匹配规则。 3. 设置静默规则生效时间。 持续生效 循环生效：选择每天或每周循环，然后单击添加，设置静默规则生效时间段。 自定义时间段：单击添加，自定义设置静默规则生效时间段。 4. 设置完成后，单击确认。

本节介绍如何通过文件备份恢复数据。 操作场景 当出现不可控因素导致文件损坏或丢失时，您可以选择指定的备份副本创建恢复任务，将已备份的文件恢复到原目录或指定目录。 约束限制 有可用的备份副本才能进行恢复，若备份副本被删除则无法进行恢复。 机器处于运行状态，且客户端状态为“已激活”。 备份副本无法选择客户端版本不匹配的机器进行恢复，恢复将会失败。 前提条件 已创建备份副本。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”或“本地文件备份”按钮，进入文件备份控制台。 4. 单击“备份副本”按钮，进入备份副本列表。 5. 在待恢复的备份副本操作栏单击“恢复”。 6. 进入“恢复”页面，配置需要恢复的具体文件 参数 说明 恢复所有文件 将恢复该备份副本中的所有文件。 恢复部分文件 勾选或输入需要恢复的指定的文件或文件夹。 7. 点击下一步，配置恢复参数 参数 说明 参考取值 恢复目录存在重名文件时 当待恢复的目录下存在与备份副本中文件重名的场景，提供3种处理方式。 跳过此文件：跳过备份副本中与待恢复目录重名的文件，不进行恢复，即保留恢复目录中已有的文件。 保留最新版本文件：比较备份副本与待恢复目录下重名文件的更新时间，在恢复目录下保留两者中版本最新的文件。 覆盖恢复目录重名文件：用备份副本中的文件覆盖待恢复目录下的重名文件。 跳过此文件 恢复模式 恢复到指定目录：将数据恢复到指定目录，您可以选择恢复至原机器的指定目录，也可以选择恢复至其他机器的指定目录下。 恢复到原目录：将数据恢复至原机器的原目录。 注意：如果备份的是根目录，不建议直接恢复到原目录，若需要恢复到原目录，建议选择“排除系统目录”。 恢复到指定目录 恢复流量限制 若选择启用恢复流量限制，可支持配置指定时间段的恢复流量速度上限。 限速时间段：配置需要进行流量限制的起止时间。 流量限制：配置该时间段的流量速度上限。 注意 ：使用恢复流量限制功能的目的端客户端版本需不低于v2.6.0，最多可配置3个时间段。 9：00到12：00进行5MB/s的流量速度限制 8. 单击“确定”完成恢复任务创建。恢复任务创建后，可以在恢复任务页面的状态栏查看相关进度。

本文帮助您快速熟悉创建安全组的操作场景和操作流程。 操作场景 您可以创建安全组并定义安全组中的规则，将VPC中的弹性云主机划分成不同的安全域，以提升弹性云主机访问的安全性。建议您将不同公网访问策略的弹性云主机划分到不同的安全组。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 点击页面右上角“创建安全组”按钮，进入创建安全组页面。 6. 根据界面提示配置参数，设置安全组信息；参数说明如下： 配置 说明 名称 输入安全组的名称。 模板 模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 虚拟私有云 选择安全组所属的虚拟私有云，仅可用区资源池支持此选项。 描述 安全组的描述信息。 企业项目 创建安全组时，可以将安全组加入已启用的企业项目。 7. 点击“确认”按钮，即可完成安全组的创建。 注意 1. 默认情况下，控制台已经为您提供了几种安全组规则模板，您可以跟据您的业务需求去选择规则模板，如果您需要自定义规则，可以参考“ 2. 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通，详细操作可参考“ 3. 对于地域资源池来说，创建安全组时无需选择对应的虚拟私有云，多个VPC可以复用一个安全组。对于可用区资源池来说，创建安全组时需选择对应的虚拟私有云。不同的VPC业务一般是不同的，所使用的安全组规则也应该是不一样的。将VPC与安全组关联方便您部署不同业务情况。您可以根据自身业务需求选择创建合适区域的安全组。

操作场景 支持在不关联负载均衡实例的情况下独立创建后端主机组 前提条件 已经创建虚拟私有云VPC 已经创建后端主机服务器 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台顶端单击图标，选择区域，本文选择华东华北2。 3. 在网络控制台，选择“弹性负载均衡>后端主机组”。 4. 点击页面上的创建后端主机组按钮，进入创建后端主机组详情页面。 5.填写具体参数 参数 说明 后端主机组名称 输入自定义的后端主机组的名称。 VPC 后端主机组所在的VPC，从VPC下拉列表中选择一个VPC，只有该VPC下的服务器可以加入到该服务器组。 后端协议 选择后端主机的协议： TCP（默认）：关联TCP监听器 UDP：关联UDP监听器 HTTP：关联HTTP、HTTPS监听器 负载方式 选择负载方式： 支持轮询算法、最小连接算法、源IP算法、QUIC ID哈希 具体的算法介绍请参考负载方式 会话保持 选择是否开启会话保持，默认关闭。 开启会话保持功能，负载均衡会把来自同一客户端的访问请求分发到同一台后端主机上进行处理。 全端口转发 全端口转发开启后，添加后端服务器无需指定端口，负载均衡将按照前端请求端口转发至后端服务器。全端口转发功能需要监听器开启全端口监听并配置端口段。 获取客户端真实源IP 通过ProxyProtocol协议携带客户端源地址 注意：该功能不支持平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置。 请参考具体的技术原理和使用说明 连接优雅中断 使用场景：启用连接优雅中断后，您可以在移除后端主机或健康检查失败后，使现有连接在一定时间内正常传输，到达连接优雅中断超时时间后，负载均衡实例会主动断开连接。 选择是否开启连接优雅中断，默认关闭。 开启连接优雅中断后，您需要设置连接优雅中断超时时间。取值范围：0~900秒，0表示立即中断，默认值：300秒。 当移除后端主机或者后端主机健康检查异常时： 默认关闭连接优雅中断。现有连接不会主动中断，只有在客户端主动断开连接或长连接会话到期时，存量连接才会中断。 开启连接优雅中断，会使现有连接在一定时间内正常传输，到达中断时间后主动断开连接，保障业务平稳下线。 描述 填写您的自定义描述信息 健康检查 默认开启，请参考健康检查的具体参数说明

操作步骤 1. 登录工作流控制台，点击目标工作流，进入工作流详情详情。 2. 在配置选项卡中，选择左边的 工作流调度 选项卡。 3. 点击 创建工作流调度 ，在弹出的右抽屉中选择 Kafka触发器，配置参数解释如下表。 配置项 操作说明 示例 触发器类型 选择Kafka触发器。 Kafka触发器 名称 填写自定义的触发器名称。 kafkatrigger Kafka实例 选择已创建的Kafka实例。 Topic 选择已创建的Kafka实例的Topic。 Group ID • 快速创建 ：推荐方案。自动创建以GROUPFCTrigger{triggername}{uuid}命名的Group ID。 • 使用已有：选择Kafka实例已有的GroupID，请您注意不要与已有的业务混用GroupID，否则会影响已有的消息收发。 消费任务并发数 消费者的并发数量，有效取值范围为[1,20]，建议不超过Topic的分区数。该值同时影响投递到函数的并发数。 消费位点 选择消息的消费位点，即触发器从kafka消息队列开始拉取消息的位置。 • 最早位点 ：从最早位点开始消费。 • 最新位点：从最新位点开始消费。 最新位点 调用方式 选择函数调用方式。 • 同步调用 ：指触发器消费topic消息后投递到函数是同步调用，会等待函数响应后继续下一个消息投递。但消费任务并发数大于1时，多个消费者有可能会并发消费消息并投递，并发的情况视topic队列本身积存的消息而定。 • 异步调用：指触发器消费topic消息后投递到函数是异步调用，不会等待函数响应，可以快速消费事件。 同步调用 触发器启用状态 创建触发器后是否立即启用。默认选择开启，即创建触发器后立即启用触发器。 启用 推送配置 • 批量推送条数 ：批量推送的最大值，积压值达到后立刻推送，取值范围为[1,10000]。 • 批量推送间隔 ：批量推送的最大时间间隔，达到后立刻推送，单位秒，取值[0,15]。默认0无需等待，数据直接推送。 • 推送格式：函数收到的事件格式，详情请查阅触发器事件消息格式。 重试策略 消息推送函数失败后重试的策略，共两种： • 指数退避 ：指数退避重试，重试5次，重试周期为2,4,8,16,32（秒）。 • 线性退避：线性退避重试，重试5次，重试周期为1,2,3,4,5（秒）。 容错策略 当重试次数耗尽后仍然失败时的处理方式： • 允许容错 ：当异常发生并超过重试策略配置时直接丢弃。 • 禁止容错：当异常发生并超过重试策略配置时继续阻塞执行。 死信队列 当容错策略为：允许容错时，可以额外开启死信队列。当开启死信队列时且异常发生并超过重试策略配置时，消息会被投递到指定的消息队列里，当前只支持投递到kafka和rocketmq

SA（System Admin）角色是SQL Server中具有最高权限的服务器级固定角色，该角色能够绕过所有的安全检查，在服务器上执行任何活动。您可以在SQL Server控制台上为实例创建具备SA（System Admin）权限的数据库账号。 前提条件 需要SQL Server控制台开启System Admin权限，如已开启请忽略。 System Admin权限默认不开启，首次启用时，您需要在SQL Server控制台【实例详情 > 账号管理】界面中单击【开放System Admin权限】按钮，确认注意事项上的要点信息后，选择【确定】来开放System Admin权限。 注意事项 SA功能目前仅对白名单用户提供，如果您需要创建SA账号，请在天翼云官网提交工单申请针对特定实例放开SA功能。 实例一旦开放System Admin权限后，不支持关闭。 开放System Admin权限后，您可以在控制台的账号管理中创建超级权限账号（SA账号）。SA账号一旦创建后不支持删除。 一旦实例创建过SA账号，该实例将不再享受SLA保障，未创建SA账号的数据库实例不受影响。 您创建的SA账户名称不能是以下示例中的任何一个： root sa ddmsa certuser innersa 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。然后单击【账号管理 > 创建账号】，并完成如下设置后，单击【确定】完成账号创建。 参数 是否必填 说明 账号名称 是 由小写字母、数字或下划线（）组成。以字母开头，字母或数字结尾，长度为2~50位。 账号类型 是 选择【超级账号权限】。 新密码 是 密码长度8位~32位，且必须含有“小写字母”、“大写字母”、“数字”、“特殊符号”中的任意三种。 确认密码 是 与新密码保持一致。 说明 如果当前没有显示【超级账号权限】选项，请检查实例是否满足前提条件。 如果当前【超级账号权限】按钮被置灰无法选择，表明当前SA权限账户已经存在，无法再新建SA权限账户。 其他类型的账号说明参考 4. （可选）重置SA权限账户密码。 在账号管理界面，在SA账号对应操作列选择【重置密码】可重置账号密码。具体操作可参考重置密码。 5. （可选）禁用/激活SA权限账号。 在SA账号对应操作列选择【禁用账号】按钮可禁用当前SA账号，禁用后该SA账号将无法登录SQL Server实例。禁用后选择【激活账号】按钮可恢复被禁用的SA账号。

本节介绍了如何通过备份文件恢复云数据库GaussDB 实例。 操作场景 云数据库GaussDB 支持使用已有的自动备份和手动备份，将实例数据恢复到备份被创建时的状态。该操作恢复的为整个实例的数据。 限制条件 恢复时目标实例异常、实例磁盘满将会导致恢复失败。 不支持跨大版本恢复。例如：1.4.x的实例仅可以恢复到1.4.y版本的实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在左侧导航栏单击“备份恢复管理”，选择需要恢复的备份，单击操作列的“恢复”。 您也可在“实例管理”页面，单击指定的实例名称，在左侧导航栏单击“备份恢复”，在“全量备份”页签下单击目标备份对应的操作列中的“恢复”。 步骤 3 单击“确定”，恢复实例。 说明 如果打开并行恢复功能，那么恢复过程中，所有主、备副本会同时从OBS服务器下载备份数据，与默认的串行恢复相比，OBS带宽消耗量增加到N倍（N等于每个分片的副本个数）。因此，为了防止OBS带宽达到上限导致恢复速度反而下降的情况，当待恢复集群的分片个数大于5个时，建议先咨询运维当前OBS服务器空闲带宽，然后再决定是否开启并行恢复功能。 主备版实例只支持并行恢复。 数据库内核版本小于1.4时，不支持开启并行恢复。 全量备份和增量备份除了备份数据文件之外，也会备份这个过程中的增量日志文件，用于保证该备份集恢复以后数据的一致性。由于增量日志文件的备份和上传需要一定时间（受网络、OBS存储介质流控等影响），因此，需要注意的是，备份结束时间并不代表该备份集恢复后的数据一致性时间点（该恢复一致性点一般在备份结束时刻之前的几分钟以内）。如果用户对于恢复后数据的一致性时刻点有严格要求，请使用指定时间点恢复。 恢复到新实例： − 数据库大版本与原实例相同。例如：1.4.x的实例仅可以恢复到1.4.y版本的实例。 − 存储空间大小默认和备份时实例磁盘空间相同，且必须大于或等于备份时实例存储空间大小。 − 数据库密码需重新设置。 − 新实例的规格默认和原实例相同，如果需要修改规格，新实例的规格必须大于或等于原实例的规格。 − 新实例的节点配置需要与备份时保持一致。 步骤 4 查看恢复结果。 恢复到新实例 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

本节介绍如何实现基于迁移工具将对象存储中的数据迁移至海量文件系统。 说明 本文中的云主机仅作为数据迁移的“中转站”，而非用于业务实际使用。待数据迁移完成之后可投入业务使用，或者根据实际情况停用。 在迁移之前，请确认目标海量文件系统可用存储空间是否满足源数据所需存储空间。 迁移至NFS文件系统（Linux） 前提条件 已有至少一个对象存储Bucket。 准备工作 分别创建一个NFS海量文件系统和一台Linux弹性云主机，具体操作请参考创建海量文件系统、创建弹性云主机。 安装Python3，确保Python版本大于3.6。若Python小于3.6，则会安装失败。 下载迁移工具。 操作步骤 将对象存储中数据迁移至海量文件系统可以分为几个关键步骤： 挂载文件系统>安装迁移工具 >填写工具基础配置信息 >迁移数据 。具体操作步骤如下： 1. 将海量文件系统挂载到云主机 以root用户登录云主机，将海量文件系统挂载至Linux云主机中，具体操作请参考使用弹性云主机挂载海量文件系统。 2. 安装迁移工具 用户可根据操作系统安装文件迁移工具，具体步骤如下： 1） 查看Python版本，确保Python版本大于3.6。若Python小于3.6，则会安装失败。可以根据以下命令安装： sudo yum install y python3 2） 执行迁移工具压缩包中的install.sh文件安装文件迁移工具。在执行相关操作时建议使用root 权限，包括后续在迁移工具的使用过程中也建议使用 root 用户进行。 3. 填写配置信息 执行以下命令打开配置文件，填写迁移信息。详细参数及相关说明请参考文件上云迁移工具用户手册Linux版中3.1.1章节。完成之后保存并退出。 vi /root/.config/rclone/migrations.conf 4. 迁移数据 确认存储空间充足后，执行迁移以下命令进行数据迁移： migration 任务正常执行完成后可打印对应的任务名称以及执行所消耗的时间。 迁移成功后，查看海量文件系统中多出迁移数据： 此外，在迁移工具中提供了命令migtool 用于查询任务进度以及执行异常的异常日志信息： migtool status [taskname]

本文介绍DSC针对云上数据使用异常行为实时告警与审计的方法 数据安全中心DSC对云上数据使用提供异常行为的实时告警与审计，可查看“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的异常行为数据，并且DSC将异常事件数据保留180天。DSC服务还能够检测敏感数据的访问、操作、管理等相关的异常行为，并且提供告警提示信息，用户可以确认和处理异常事件。以下行为被视为异常事件： 合法用户访问、下载、修改、权限更改、权限删除敏感数据。 合法用户更改、删除与敏感数据存储桶相关的权限。 非法用户在未经授权的情况下访问、下载敏感数据。 访问敏感数据的用户登录终端存在异常情况。 前提条件 当前异常事件处理页面含有异常事件。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > 数据使用审计”，进入“数据使用审计”页面，参数说明请参考下表。 在列表的右上角，可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期，事件类型以及事件状态来展示您想要的异常行为事件信息。 参数名称 参数说明 用户ID 资源所有者对应的ID。 事件类型 DSC将异常事件分成了三种类型： 数据访问异常： 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常： 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常： 添加桶时，检测到桶为公共读或公共读写桶。 添加桶时，检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 含有敏感文件的桶出现桶策略更改、删除操作。 含有敏感文件的桶出现桶ACL更改、删除操作。 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。 敏感文件的对象出现ACL更改、删除操作。 事件名称 导致异常事件发生的具体事件。 告警时间 异常事件发生的具体时间。 状态 状态说明如下： “待处理”：异常事件未进行处理。 “违例确认”：已处理异常事件为违例确认。 “违例排除”：已处理异常事件为违例排除。 4. 在异常事件的操作列，单击“查看详情”，查看该事件的详细信息。 您可以根据异常事件的详细信息判断该事件是否为违例事件，从而确定如何来处理该事件，具体的处理方法请参见处理异常行为检测事件。

敏感数据识别规则有系统内置的规则，同时支持用户自定义规则。可在新增和编辑识别模板时选择内置或者自定义的识别规则。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“识别规则”页签，进入识别规则界面。 步骤 6 单击界面左上角“新建自定义规则”，弹出“添加规则”弹框。 步骤 7 请参照下表配置相关参数。 添加规则参数配置说明 参数 说明 规则名称 您可以自定义敏感数据规则名称。 规则名称需要满足以下要求：1~255个字符。字符可由中文、英文字母、数字、下划线、中划线和括号组成。规则名称不能与已有的规则名称重复。 描述（可选） 请输入规则描述。 添加到模板 在下拉框中依次选择“模板名称”、“模板规则分类”、“级别”将规则添加到规则模板中进行分类管理。单击可添加到多个模板。单击删除模板，至少保留一条模板。 匹配类型 可选择“规则匹配”和“关键字匹配”。 关键字匹配：通过关键字来执行该条敏感规则。规则匹配：用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。 对于MRS中的HIVE数据，在敏感数据识别时，当前仅支持“匹配类型”为“规则匹配”、“规则”为“内容>包含”的方式。 匹配逻辑 选择匹配逻辑：AND：关键字都需要包含。OR：仅需要包含其中一个关键字。 规则 “匹配类型”设置为“规则匹配”时，显示该参数。单击添加多条规则。单击删除规则，至少保留一条规则。 对于MRS中的HIVE数据，在敏感数据识别时，当前仅支持“匹配类型”为“规则匹配”、“规则”为“内容>包含”的方式。 内容 “匹配类型”设置为“关键字匹配”时，显示该参数。 通过回车换行分隔多个关键字。 识别阈值配置 适用于非结构化数据，可单击选择低、中、高三种阈值，阈值越高要求命中的次数越多。 命中率 适用于结构化数据，可拖动滑块设置。 步骤 8 单击“确认”完成新建规则。

本节主要介绍网关访问保留源IP 操作场景 服务通过网关访问时，默认情况下，目标容器中看到的不是客户端的源IP，如果需要保留源IP，请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面，istiosystem命名空间下，更新服务所关联的网关服务，将服务亲和改成“节点级别”。前提是已开启ELB的获取客户端IP功能（当前为默认开启）。 externalTrafficPolicy：表示此Service是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项：Cluster（默认）和Local。Cluster隐藏了客户端IP，可能导致第二跳到另一个节点，但具有良好的整体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳，但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“xforwardfor”字段中可以看到源IP，httpbin是一个HTTP Request & Response Service，可以向他发送请求，他将会按照指定的规则将请求返回。httpbin镜像可在SWR中搜索。使用httpbin镜像进行验证时请确保集群已开通网格。 1. 登录ASM应用服务网格控制台，选择一个可用的测试网格并单击进入。 2. 选择左侧“网格配置”查看其关联的集群。 3. 单击集群名称进入集群详情页，单击对应集群右上角第三个图标“工作负载”进入“工作负载”页签。 4. 配置工作负载的信息。 5. 单击右下角“确定”完成服务创建。 6. 单击右下角“创建工作负载”完成工作负载创建。 7. 在集群详情页选择左侧“服务发现”页签，可在服务列表中查看到所创建的httpbin服务。 8. 返回ASM应用服务网格，选择左侧“服务管理”页签，在服务管理中可查看到httpbin的配置诊断显示为异常。 9. 单击此服务配置诊断中的“处理”按钮，按照弹出“配置诊断”页面对应的修复指导进行修复。 10. 选择左侧“网关管理”页签，单击右上角“添加网关”，在弹出“添加网关”页面输入配置信息。 11. 单击“确定”完成网关添加。 12. 选择左侧“服务管理”页签，可以在“访问地址”查看到所创建路由的外部访问地址。 13. 单击之前添加路由时设置映射的外部访问地址，可以在“xforwardfor”字段中查看网关获取的IP为容器段IP。 14. 返回集群详情页，选择左侧导航栏“服务发现”，更改服务所关联的网关服务的配置。方法如下： 下拉上方“命名空间”列表选择“istiosystem”。 展开服务后方“更多”选项，单击“更新”，在弹出“更新服务”页面将“服务亲和”更改为“节点级别”，单击“确定”。 15. 返回13中访问的外部地址并刷新，若设置之后“xforwardfor”字段中显示的网关获取IP的结果为本机源IP，则完成验证。

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

集群权限（IAM授权）与命名空间权限（Kubernetes RBAC授权）的关系 拥有不同集群权限（IAM授权）的用户，其拥有的命名空间权限（Kubernetes RBAC授权）不同。下表给出了不同用户拥有的命名空间权限详情。 表 不同用户拥有的命名空间权限 用户类型 1.13及以上版本的集群 拥有Tenant Administrator权限的用户（例如账号） 全部命名空间权限 拥有CCE Administrator权限的IAM用户 全部命名空间权限 拥有CCE FullAccess或者CCE ReadOnlyAccess权限的IAM用户 按Kubernetes RBAC授权 拥有Tenant Guest权限的IAM用户 按Kubernetes RBAC授权 注意事项 Kubernetes RBAC的授权能力支持1.11.7r2及以上版本集群。若需使用RBAC功能请将集群升级至1.11.7r2或以上版本。 任何用户创建1.11.7r2或以上版本集群后，CCE会自动为该用户添加该集群的所有命名空间的clusteradmin权限，也就是说该用户允许对集群以及所有命名空间中的全部资源进行完全控制。 拥有Security Administrator（IAM除切换角色外所有权限）权限的用户（如账号所在的admin用户组默认拥有此权限），才能在CCE控制台命名空间权限页面进行授权操作。 配置命名空间权限（控制台） CCE中的命名空间权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”。 步骤 2 在右边下拉列表中选择要添加权限的集群。 步骤 3 在右上角单击“添加权限”，进入添加授权页面。 步骤 4 在添加权限页面，确认集群名称，选择该集群下要授权使用的命名空间，例如选择“全部命名空间”，选择要授权的用户或用户组，再选择具体权限。 说明 对于没有IAM权限的用户，给其他用户和用户组配置权限时，无法选择用户和用户组，此时支持填写用户ID或用户组ID进行配置。 图 配置命名空间权限 其中自定义权限可以根据需要自定义，选择自定义权限后，在自定义权限一行右侧单击新建自定义权限，在弹出的窗口中填写名称并选择规则。创建完成后，在添加权限的自定义权限下拉框中可以选择。 图 自定义权限 步骤 4 单击“确定”。 示例：授予集群全部权限（clusteradmin） 集群全部权限可以使用clusteradmin权限，clusteradmin包含集群级别资源（PV、StorageClass等）的权限。 图 授予集群全部权限（clusteradmin） 如果使用kubectl查看可以看到创建了一个ClusterRoleBinding，将clusteradmin和ccerolegroup这个用户组绑定了起来。

本文介绍天翼云云搜索Elasticsearch实例自定义插件的安装方式。 当您需要使用自定义插件或系统默认插件中不包含的开源插件时，可通过云搜索服务的自定义插件上传与安装功能，在实例中上传并安装对应插件。本文介绍具体的操作方法。 前提条件 1. 准备待上传的插件，并确保插件的可用性和安全性。 2. 建议在上传插件前，先在本地自建Elasticsearch实例（与实例相同版本）上进行测试，成功后再进行上传。 3. 开通与云搜索实例同地域的对象存储服务，并上传好需要安装的插件至对象存储的桶中。 使用限制 1. 不支持安装与默认插件一样的插件，包括默认插件的其他版本。 2. 不支持同时安装/卸载两个以上的插件。 3. 云搜索服务不保留用户插件的安装文件，请您自行备份。 4. 插件文件后缀需要为.zip。 5. 不支持上传安装带权限属性的插件。 6. 目前云搜索已关闭该功能，仅版本号<1.5.0的实例可以使用。 注意 安装自定义插件操作会触发实例重启插件本身可能影响实例的稳定性，请务必保证自定义插件的可用性和安全性，建议在业务低峰期进行操作。 操作步骤 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在实例详情页选择“插件管理”—“自定义插件”，单击上传插件按钮。 3. 在弹出的页面上填写： 1. 插件名称，仅支持字母、数字和字符，请和插件包名称保持一致。插件名称查询路径：插件包内properties文件中找到pluginName。 2. 插件版本：插件目前的版本，格式为数字和点组合，如：7.10或2.19.1.0等，非必填。 3. 插件描述：用于帮助用户识别插件功能，非必填。 4. 插件地址：填写天翼云对象存储同地域资源池下的地址，获取路径为：对象存储控制台——点击对应桶名称进入详情——点击文件管理，找到对应的插件，点击右侧更多——复制URL。 注意 需要开启对应文件的可读权限。 填写完毕后点击安装并重启，插件会先在实例安装，安装完毕后实例将自动进行重启。期间请勿对实例进行其他操作。 4. 当实例重启完成，插件状态变成“已安装”则表示插件已经安装完毕。若插件处于“未安装”状态，则说明安装失败，您可根据提示调整填写内容再次重试或通过工单联系我们协助处理。您也可以删除该插件信息。 5. 已经安装完毕的插件，如果您不再使用，可单击插件右侧的卸载，卸载此插件。卸载插件如需再次安装，请参照前述步骤执行。

本章节向您介绍通过企业路由器实现同区域VPC互通的步骤五内容。 说明 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 约束与说明 如果您的VPC只有一个默认路由表，那么所有子网都会关联至默认路由表，只需要在默认路由表中配置ER的路由信息。 如果您的VPC存在多个自定义路由表，并且不同子网关联至不同路由表。为了确保所有子网均可以和ER通信，需要在子网关联的每个路由表中配置ER的路由信息。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到待添加连接的企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 步骤4：在连接列表中，单击目标连接对应的“连接资源”超链接，进入VPC“基本信息”页面。 步骤5：在“网络互通概览”区域，单击子网对应的数字，进入“子网”页面。 步骤6：单击子网对应的路由表名称，进入路由表详情页面。 步骤7：在“基本信息”页签下，单击“添加路由”，弹出“添加路由”对话框。 步骤8：根据界面提示，配置VPC到企业路由器的路由信息，如下表所示。 参数名称 参数说明 取值样例 目的地址 目的地址需要确保该VPC的流量可以访问到其他接入企业路由器的VPC，请您根据组网的实际规划进行配置，支持修改。 为了方便配置以及后续的网络扩展，建议您目的地址配置成VPC网段或者子网的地址。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 10.0.0.0/8 下一跳类型 选择“企业路由器”，支持修改。 企业路由器 下一跳 根据名称选择目标企业路由器，支持修改。 ertest01 描述 该条路由的描述信息，支持修改。 步骤9：路由信息设置完成后，单击“确定”，返回路由列表页面，可以看到添加的路由。 步骤10：重复执行步骤49，为其他VPC配置ER的路由信息。

本页介绍天翼云TeleDB数据库如何对数据空间进行管理。 操作场景 您可按照百分比或分片形式对数据节点上的数据进行迁移。数据迁移需要实例集群内部至少有两个数据节点组。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击数据空间管理 ，进入数据空间管理 页面。 2. 数据迁移 1. 选择数据迁移 页签，单击创建任务 ，出现创建迁移任务对话框。 2. 在创建迁移任务对话框，输入任务名称、源节点、目标节点和迁移类型。 任务名称：根据自己的需求填写，可自定义。 源节点：根据实际情况选择。 目标节点：根据自己的实际情况选择。 迁移类型：分为shard迁移 和百分比迁移 。 Shard迁移：按照分片迁移，需要选择分片，单次可迁移的分片最大为1000。选择分片迁移需移动分片至已选shard。 百分比迁移：按照源节点上的数据百分比进行迁移，需要输入1100的整数。 3. 单击确定完成任务迁移。 3. 空间清理 说明 当数据被删除或更新时，TeleDB将其标记为无效，但并不立即回收相关的存储空间。需要定期执行空间清理操作，以检查并释放被标记为无效的数据所占用的空间。这样可以确保数据库在长时间运行后不会因为无效数据的积累而占用过多的磁盘空间。 1. 选择空间清理 页签，单击创建任务 ，出现创建清理任务 对话框。 2. 选择源节点 、清理开始时间 和清理结束时间 ，单击确定 。 4. 空间回收 说明 经过空间清理任务后的实例并没有立即释放空间，用户可以通过空间回收任务对实例进行重建表和索引，自动释放被空间清理回收的空间。 1. 选择空间回收 页签，单击创建任务 ，出现创建回收任务 对话框。 2. 选择回收节点、设置回收开始时间和回收结束时间，单击确定完成空间回收。 5. 数据重平衡 说明 用户可以通过数据重平衡，依据磁盘使用率，把节点组原有的数据平均分布到节点组内各个节点上。该功能会自动生成迁移任务以及空间清理任务，用户可以在任务详情或者在对应功能页面查看任务具体执行情况。 1. 选择重平衡任务 页签，单击创建任务 ，出现创建数据重平衡任务 对话框。 输入任务名称，选择节点组，单击确定，完成数据重平衡。

参数名 类型 是否必选 名称 描述 productcode string 是 产品类型 固定值：“009”（应用加速） domain string 是 加速域名 需要修改的IPA加速域名，仅支持修改单个域名。 origin obj 否 回源信息 未传代表不修改 origin.origintype int 否 回源方式 1：择优回源方式，2：轮训回源方式，3：保持登录回源方式。未传代表不修改。 origin.tcpports list< object > 否 tcp端口列表 未传代表不修改，有传代表整个数组维度全量修改 origin.tcpports[].origin str 否 tcp回源端口 没传代表删除，有传代表修改 origin.tcpports[].req str 是 tcp请求端口 tcp端口列表有传时，该字段必传，并且不能为空 origin.udpports list< object > 否 udp端口列表 未传代表不修改；有传代表整个数组维度全量修改；传空数组代表删除整个udp端口列表；udp数组中如果有元素，那么该元素中的req参数不能是空字符串，即origin: udpports不能为空 origin.udpports[].origin str 否 udp回源端口 没传代表删除，有传代表修改 origin.udpports[].req str 否 udp请求端口 udp回源端口有传时，该字段必传，并且不能为空字符串。 origin.probeport str 否 探测端口 origin.detail list< object > 否 回源角色信息 不允许传空值 origin.detail[].address str 是 回源地址 origin.detail[].weight int 是 权重 origin.detail[].role int 是 源站角色 1：主，2：备 origin.detail[].level int 是 层级 角色为主时，层级取值为1；角色为备时，层级取值为15 dynamiccfg obj 否 动态配置 未传代表不修改 dynamiccfg.routetype int 否 选路方式 1：快速选路，2：稳健选路 dynamiccfg.kcp int 否 kcp转发开关 1：开启，2：关闭 dynamiccfg.packageloss float 否 丢包率阈值 范围01 accesscontrol obj 否 访问控制 未传代表不修改 accesscontrol.controlswitch int 是 ip黑白名单开关 1：开启，2：关闭 accesscontrol.matchtype int 否 匹配方式 1：掩码和ip段匹配，2：字符串匹配；若ip黑白名单开关开启，则该字段必填 accesscontrol.controltype int 否 访问控制类型 1：ip黑名单，2：ip白名单；若ip黑白名单开关开启，则需填写该字段 accesscontrol.iplist str 否 ip黑/白名单 若ip黑白名单开关开启，则需填写该字段，多ip以逗号分隔

本文介绍通过CDN加速媒体存储资源的操作流程和操作方法。 前提条件 1. 完成天翼云账号注册、实名认证。 2. 开通CDN加速，详情请见：产品开通。 3. 开通媒体存储，详情请见：开通天翼云媒体存储。 创建存储区域：目前不支持客户自助创建，需要您通过提交工单联系天翼云客服或客户经理，由其人工通过线下渠道为您创建存储区域。 创建媒体存储的存储桶，详情请见：新建Bucket。创建完成后，可以在基础信息查看，找到 Bucket域名（即回源域名）。 （非必须）上传资源到存储桶，详情请见：上传对象。 （非必须）配置镜像回源功能，当您请求的对象在存储桶中不存在时，可以根据回源规则从指定的源站获取对象。详情请见：镜像回源。 4. 如需要享受媒体存储的流量优惠，在添加加速域名新增源站时，需要选择源站类型为 【媒体存储源站】。 操作说明 添加加速域名 登录CDN控制台，在左侧导航栏单击【域名管理】【域名列表】，进入域名列表页面，单击【添加域名】。配置详情请见：添加加速域名。 CDN节点在无缓存时，会回源站（本实践中特指媒体存储）拉取资源并缓存。源站相关配置请参考如下： 1. 在源站地址中填入已经配置好的存储桶 ，即Bucket域名（回源域名），指定源站回源HOST配置对应的回源HOST（即Bucket域名）。 2. 如新建Bucket时，【权限】选择的是私有，则只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。可通过CDN控制台，在【域名管理】【域名列表】【回源配置】【私有Bucket回源】添加AK(Access Key），SK(Secret Access Key)等信息，并提交保存。配置详情请见：私有Bucket回源 3. 当完成添加域名页面所有配置后，单击【提交】，请耐心等待域名配置下发部署至全网节点，自助配置生效时间约510分钟。 注意 私有Bucket的AK、SK一旦授权给CDN，用户可以通过CDN访问到私有Bucket内容，如在媒体存储中的资源较为敏感，请单独为CDN创建一个独立的AK/SK，仅授权CDN可访问的内容，避免源站信息泄漏。

创建工作空间 步骤 1 以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“空间管理”页签，单击“新建”，在空间信息页面请根据页面提示配置参数，参数说明如表1 所示。 表1 新建空间参数说明 参数名 说明 空间名称 空间名称，只能包含字母、数字、下划线、中划线、中文字符，且长度不超过32个字符。在当前的DataArts Studio实例中，工作空间名称必须唯一。 空间描述 空间的描述信息。 空间模式 选择新建工作新建工作空间的模式。 l简单模式：即传统的DataArts Studio工作空间模式，使用方便，但无法对数据开发流程和表权限进行强管控。 l企业模式：企业模式下DataArts Studio数据开发组件以及对应管理中心组件数据连接支持设置开发环境和生产环境，有效隔离开发者对生产环境业务的影响。企业模式的相关介绍请参见 DataArts Studio企业模式概述。 企业项目 DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l一个企业项目下只能创建一个DataArts Studio实例。 l需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 作业日志OBS路径 用于指定DataArts Studio数据开发作业的日志存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发，必须具备“作业日志OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写数据开发的作业日志。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置作业日志OBS桶。 l如果不配置该参数，DataArts Studio数据开发的作业日志默认存储在以“dlflog{projectId}”命名的OBS桶中。{projectId}即项目ID，您可以参考获取项目ID和账号ID进行获取。 DLI脏数据OBS路径 用于指定DataArts Studio数据开发中DLI SQL执行过程中的脏数据存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发执行DLI SQL，必须具备“DLI脏数据OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写DLI SQL执行过程中的脏数据。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置DLI脏数据OBS桶。 l如果不配置该参数，DataArts Studio数据开发的DLI SQL脏数据默认存储在以“dlflog{projectId}”命名的OBS桶中。 步骤 3 配置完成后，单击“确定”完成工作空间的创建。

本章节主要介绍Logstash集群如何变更规格。 当集群数据面业务变化，需要动态调整集群节点的规格时，可以执行“变更规格”任务。 前提条件 集群处于“可用”状态，且无正在进行的任务。 有足够的配额支持集群变更规格。 变更规格时，为了不中断业务，请确认业务数据都有副本。 在Kibana中执行命令 GET cat/indices?v ，若回显的“rep”值大于“0”，则表示有副本；若“rep”值等于“0”，则表示没有副本，请先为集群手动创建快照再变更规格。 如果数据量比较大的情况下，更改节点规格耗时会比较长，因此，建议在业务低峰期更改节点规格，利于更快完成规格更改。 约束限制 变更规格操作不支持修改“节点数量”和“节点存储容量”。增加“节点数量”和“节点存储容量”请执行扩容操作。减少“节点数量”请执行缩容操作。 若将大规格更改为小规格，集群的处理性能将会降低，将会影响业务能力，请谨慎操作。 当集群包含多种节点类型时，一次只支持变更一种类型的节点规格，且变更完成后只生效所选类型的节点规格。 变更规格过程中，Kibana不可用。 变更规格过程中，会依次对节点进行关机，完成更改后依次开机。是一个滚动的变更过程。 操作步骤 1.登录云搜索服务管理控制台。 2.在左侧菜单栏，选择对应的集群类型，进入集群管理页面。 3.选择目标集群，单击操作列的“更多>形态变更”进入更改集群规格页面。 4.在更改集群规格页面，设置变更规格的参数。 −“变更类型”：“变更规格”。 −“变更的资源”：显示资源的变化量。 −“变更的角色”：此处修改的是默认数据节点类型的节点规格，在对应节点规格下拉框中选择所需的规格，然后勾选需要变更的节点。 −如果集群启用了Master节点、Client节点或冷数据节点，还可以更改Master节点、Client节点与冷数据节点的“节点规格”。 集群变更规格 5.单击“下一步”。 6.确认变更信息后，单击“提交申请”。 7.在弹出的“索引副本校验”窗口确认是否勾选“进行索引副本校验”，单击“确认”启动集群规格变更。 −没有Master节点的集群更改节点规格时，若选择进行索引副本校验，则要求所有索引至少有1个副本，且“节点数量”总和不小于3。 −有Master节点的集群更改节点规格时，若选择进行索引副本校验，则要求所有索引至少有1个副本。 8.单击“返回集群列表”跳转到集群管理页面。集群的“任务状态”列中显示为“规格修改”，表示集群正在更改规格。当集群状态变为“可用”，则表示规格变更成功。

本章节主要介绍翼MapReduce的系统概览功能。 MRS Manager支持将集群中所有部署角色的节点，按管理节点、控制节点和数据节点进行分类，分别计算关键主机监控指标在每类节点上的变化趋势，并在报表中按用户自定义的周期显示分布曲线图。如果一个主机属于多类节点，那么对应的指标将被统计多次。 该任务指导用户了解MRS集群的概览、及在MRS Manager查看、自定义与导出节点监控指标报表。 操作步骤 登录MRS Manager，具体请参考访问MRS Manager（MRS 2.x及之前版本）。 1. 在MRS Manager选择“系统概览”。 2. 在“时间区间”选择需要查看监控数据的时间段。可供选择的选项如下： 实时 最近3小时 最近6小时 最近24小时 最近一周 最近一个月 最近三个 最近六个月 自定义：选择自定义时，在时间范围内自行选择需要查看的时间。 3. 单击“查看”可以查看相应时间区间的监控数据。 MRS Manager在“服务概览”显示各个服务的“健康状态”和“角色数”。 单击曲线图表上侧的图标，可显示具体的指标说明信息。 4. 自定义监控指标报表。 a.单击“定制”，勾选需要在MRS Manager显示的监控指标。 MRS Manager支持统计的指标共14个，界面最多显示12个定制的监控指标。 集群主机健康状态统计 集群网络读速率统计 主机网络读速率分布 主机网络写速率分布 集群磁盘写速率统计 集群磁盘占用率统计 集群磁盘信息 主机磁盘占用率分布 集群磁盘读速率统计 集群内存占用率统计 主机内存占用率分布 集群网络写速率统计 主机CPU占用率分布 集群CPU占用率统计 b.单击“确定”保存并显示所选指标。 说明 单击“清除”可批量取消全部选中的指标项。 5. 用户可以选择页面自动刷新间隔的设置，也可以单击马上刷新。 支持三种参数值： “每60秒刷新一次”：刷新间隔60秒。 “每120秒刷新一次”：刷新间隔120秒。 “停止刷新”：停止刷新。 说明 勾选“全屏”会将“系统概览”窗口最大化。 6. 导出监控指标报表。 a.选择报表的时间范围。可供选择的选项如下： 实时 最近3小时 最近6小时 最近24小时 最近一周 最近一个月 最近三个月 最近六个月 自定义：选择自定义时，自行选择需要导出报表的时间。 b.单击“导出”，Manager将生成指定时间范围内、已勾选的集群监控指标报表文件，请选择一个位置保存，并妥善保管该文件。 说明 如果需要查看指定时间范围的监控指标对应的分布曲线图，请单击“查看”，界面将显示用户自定义时间范围内选定指标的分布曲线图。

本节主要介绍怎么添加DNAT规则。 操作场景 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则，如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则。 操作前提 已成功创建公网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加DNAT规则的公网NAT网关名称。 4. 在公网NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“添加DNAT规则”。 6. 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 使用场景 在使用DNAT为云主机面向公网提供服务场景下，此处选择虚拟私有云。 表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为云主机配置了一个弹性IP， 任何访问该弹性IP的请求都将转发到目标云主机实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 私网IP 在使用DNAT为云主机面向公网提供服务场景下，指云主机的IP地址， 表示此IP地址的云主机将通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。 描述 DNAT规则信息描述。最大支持255个字符。 7. 配置完成后，单击“确定”，完成“DNAT规则”创建。 说明 配置DNAT规则后，需在对应的云主机中放通对应的安全组规则，否则DNAT规则不能生效。