本文介绍如何在控制台创建项目空间。 概述 项目空间是应用托管的顶层概念，为企业和团队提供统一的资源管控及人员权限管理能力，同时可用于不同环境的资源隔离，支持灵活资源分配与团队协作。资源创建后不支持更改其所属的项目空间，请提前做好规划。 使用说明 项目空间内创建的资源归属项目空间所属人，项目成员仅作为空间的操作员。 角色定义 为满足团队管理的需求，应用通过预定义了以下多种系统角色，以便团队根据分工为成员分配合适的角色： 管理员：项目空间所属人，拥有空间所有权限，包括增删工作空间。 项目管理员：拥有空间所有权限，不可删除空间。 资产管理员：拥有项目资产管理的全部权限。 项目成员：拥有应用实例管理全部权限。 访客：可查看项目资产信息，但不可操作。 操作步骤 1. 登录应用托管控制台，在左侧导航栏单击【资产】>【项目空间】，点击【创建项目空间】按钮。 说明 租户首次使用应用托管控制台，平台会自动为用户创建默认空间并初始化。 若项目空间初始化失败导致服务不可用，请刷新页面或重新进入应用托管控制台。 2. 填写基础信息：项目空间名称、描述。 说明 项目空间名称具有租户下唯一性，同一个租户下不可创建同名项目空间。 项目空间ID由平台自动生成，项目空间ID全局唯一，不可修改。 3. 完成表单填写后，点击【确认】按钮，完成项目空间创建。 4. 您可在项目空间栏目查看您创建或已加入的项目空间，并对项目空间进行管理。 5. 点击目标项目空间操作栏的【编辑】按钮，可对项目空间进行管理。支持开启“允许自主申请加入空间”，其他用户可通过项目空间ID搜索加入空间。

您可以在函数计算控制台查询函数计算资源概览指标以及资源所在地域、函数维度和实例维度的监控指标详情。具体的监控指标通过指定MetricName参数实现。本文介绍函数计算各类监控指标对应的MetricName参数的取值和含义。 资源概览指标 您可以登录函数计算控制台，在概览 页面的资源使用统计区域，查看资源概览指标的情况。 资源概览指标是您对所有地域或某指定地域内，函数计算整体资源使用情况和网络流量的监控度量。包含的指标项如下表所示，所有指标按一天或一个月粒度统计求和。 指标类型 指标名称 单位 描述 概览 调用次数（Invocations） 次 调用函数的总请求次数。 概览 vCPU使用量（vCPU Usage） vCPU秒 在调用函数时，函数占用的vCPU资源，即函数的vCPU规格×函数执行时间。 概览 内存使用量（MemoryUsage） GB秒 在调用函数时，函数占用的内存资源，即函数内存规格×函数执行时间。 概览 磁盘使用量（DiskUsage） GB秒 在调用函数时，函数占用的磁盘资源，即函数磁盘规格×函数执行时间。 概览 公网出流量（InternetOut） GB 在调用函数时，函数执行在统计时间内的总公网出流量。 概览 GPU使用量（GPU Usage） GB秒 在调用函数时，函数占用的GPU实例资源，即函数GPU规格×函数执行时间。 vCPU使用量 活跃vCPU使用量（Active vCPU Usage） vCPU秒 在调用函数时，函数活跃实例占用的vCPU资源，即函数的vCPU规格×函数执行时间。 vCPU使用量 闲置vCPU使用量（Idle vCPU Usage） vCPU秒 在调用函数时，函数闲置实例占用的vCPU资源，即函数的vCPU规格×实例闲置时间。 GPU使用量 活跃GPU使用量（Active GPU Usage） GB秒 在调用函数时，函数活跃实例占用的GPU实例资源，即函数GPU规格×函数执行时间。 GPU使用量 闲置GPU使用量（Idle GPU Usage） GB秒 在调用函数时，函数闲置实例占用的GPU实例资源，即函数GPU规格×实例闲置时间。

本节介绍了云数据库TaurusDB实例的PITR功能。 操作场景 TaurusDB支持恢复实例数据到指定时间点。 注意 请勿在TaurusDB实例的生命周期内执行“reset master”命令，以免造成恢复到指定时间点功能异常。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航栏中选择“备份恢复”页签，单击“恢复到指定时间点”。 步骤 6 选择需要恢复的日期和时间区间，选择或输入该恢复时间区间内的一个要恢复到的时间点，选择恢复方式为“新实例”或“当前实例”。 1. 选择恢复到“新实例”，单击“确定”，跳转到“恢复到新实例”的服务页面，设置相关参数，单击“立即创建”。 1. 区域、数据库引擎、兼容的数据库版本，与原实例相同，不可修改。 2. 数据库端口为默认值3306。 3. 其他参数默认，用户可设置，请参见创建实例。 2. 选择恢复到“当前实例”，单击“下一步”，核对任务信息，无误后单击“确定”。 恢复到当前实例会将当前实例上的数据全部覆盖，并且恢复过程中数据库不可用，请在业务低峰期进行恢复。 步骤 7 查看恢复结果。 恢复到新实例，TaurusDB会为用户重新创建一个和备份创建时的时间点数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。恢复成功的新实例是一个独立的实例，与原有实例没有关联。如需使用只读节点，请重新在该实例上进行创建。 新实例恢复成功后，系统会自动执行一次全量备份。 恢复到当前实例，恢复到的目标实例运行状态由“恢复中”变为“正常”，说明恢复成功。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2hfksnibjaos/facefasaction/person/detectFasFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsignature、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f820wzpai9s/PictureIdentity/api/v1/imageporn.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“个人中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文主要介绍外部调用 外部调用是对当前应用调用外部服务进行监控，包括CSEConsumer集群监控、ApacheHttpClient连接池、ApacheHttpAsyncClient连接池、DubboConsumer监控、HttpClient监控。 本章节主要对查看HttpClient监控进行介绍。 查看外部调用 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击待查看接口调用的环境后的。 步骤 5 单击“外部调用”，切换至外部调用页签。默认展示“全部实例”的“HttpClient监控”信息。 图 外部调用数据 步骤 6 在外部调用页签选择您想要查看的“实例名称”和“指标选择”，可以查看该实例在对应采集器下的不同指标集下的应用监控数据。 图 实例和指标 查看HttpClient监控 接口维度汇总 针对HttpClient监控系统会采集每个URL的指标包括：url、method、调用次数、平均响应时间(ms)、错误次数、最大并发、最慢调用(ms)、0ms10ms、10ms100ms、100ms500ms、500ms1s、1s10s、10sn、错误调用链、最慢调用链，您可以单击列表右上角的自定义列表项，使界面上显示您需要查看的指标数据。 图 接口维度汇总HttpClient监控 单击调用次数、平均响应时间等蓝色字体数值，会以图表的形式显示对应的数值详情。 单击某个最慢调用链或者错误调用链，系统会跳转到该调用链详情页面，查看该调用链的调用情况。

本文介绍我的团队功能，使用户可以快速熟悉我的团队的相关操作，以及如何申请加入团队 前提条件 具有进入我的团队页的菜单权限。菜单权限请参考权限说明。 注意事项 用户加入组织后，会自动加入到当前组织的公共团队当中。 如果用户没指定加入任何团队，进入我的团队 界面后，当前所在团队会默认为公共团队。 说明 每个组织都会有一个公共团队，用户在登录DMS后，会自动加入到当前组织的公共团队。 团队成员查看 在左侧导航栏，点击个人中心>我的团队 ，进入我的团队页面，可查看团队内所有成员信息，包括成员的用户名、团队内角色、系统角色等信息，同时可通过团队角色类型、用户名等条件搜索团队成员。 查看全部团队 在我的团队 界面，选中团队成员 页签，当前所在团队的下拉框旁有查看全部团队 按钮，点击该按钮可以查看当前组织内的全部团队信息，用户可以在弹窗中找到对应团队，点击申请加入 按钮加入团队，或点击退出团队按钮退出团队。 说明 公共团队为系统默认团队，不允许退出。 申请加入团队 1. 在左侧菜单栏依次点击个人中心 > 我的团队。 2. 点击团队成员 标签页，在页面上方点击查看全部团队按钮打开全部团队弹窗。 3. 选择目标团队，点击申请加入 按钮打开弹窗，在弹窗内选择团队角色后点击确定按钮后将提交团队工单，等待目标团队的团队管理员审批通过后即可加入该团队。 用户可在安全协作 > 工单列表 > 团队申请工单页面中查看该团队工单详细信息及工单的流程。 团队资产查看 在我的团队页面，点击团队资产页签，切换到团队资产界面。在团队资产界面，可查看团队内所有实例信息，包括实例名称、地址、数据库类型等信息，同时可通过实例名称、数据库类型等条件搜索团队内的实例；也可查询团队内的数据对象信息。

本节介绍如何为下一代防火墙绑定新的网卡。 开通下一代防火墙原子能力时，对应原子能力配置的云主机默认只有一张网卡，该网卡为管理口网卡。为了承载业务流量，需要为下一代防火墙对应的云主机添加新的弹性网卡作为业务流量通道。具体绑定的网卡数量根据实际业务网络规划而定。 前提条件 已购买下一代防火墙资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，进入云等保专区的下一代防火墙资源页面。 3. 在目标资源的操作列，单击“更多 > 绑定网卡”。 4. 绑定网卡。 根据资源所在区域，绑定网卡的步骤略有不同，云等保专区支持的区域请参见支持的区域。 一类节点区域： 1. 在弹出的“绑定弹性网卡”窗口中，上方展示当前资源已有网卡，在下方列表中选择需要绑定的网卡。 若没有可绑定的网卡，单击“创建弹性网卡”，创建一个新的网卡。 2. 选择网卡后，单击“确定”，完成绑定。 二类节点区域： 单击“绑定网卡”后，会进入对应云主机详情页面。在该页面为云主机绑定网卡，详细操作请参见添加网卡。 5. 重启云主机。 当绑定网卡后，需要重启云主机资源使绑定的网卡生效。 注意 重启会导致服务中断，且重启过程中无法执行其他操作，请在业务空闲时进行重启。 1. 在目标资源的操作列，单击“更多 > 重启”，重启云主机。 2. 在弹出的提示框中，单击“确定”，资源状态变更为“重启中”，待状态变更为“运行中”时，表示重启完成。 说明 若重启失败，可再次单击“更多 > 重启”重试。

本节介绍如何为Web应用防火墙绑定新的网卡。 开通Web应用防火墙原子能力时，对应原子能力配置的云主机默认只有一张网卡，该网卡为管理口网卡。为了承载业务流量，需要为Web应用防火墙对应的云主机添加新的弹性网卡作为业务流量通道。具体绑定的网卡数量根据实际业务网络规划而定。 前提条件 已购买Web应用防火墙资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙”，进入云等保专区的Web应用防火墙资源页面。 3. 在目标资源的操作列，单击“更多 > 绑定网卡”。 4. 绑定网卡。 根据资源所在区域，绑定网卡的步骤略有不同，云等保专区支持的区域请参见支持的区域。 一类节点区域： 1. 在弹出的“绑定弹性网卡”窗口中，上方展示当前资源已有网卡，在下方列表中选择需要绑定的网卡。 若没有可绑定的网卡，单击“创建弹性网卡”，创建一个新的网卡。 2. 选择网卡后，单击“确定”，完成绑定。 二类节点区域： 单击“绑定网卡”后，会进入对应云主机详情页面。在该页面为云主机绑定网卡，详细操作请参见添加网卡。 5. 重启云主机。 当绑定网卡后，需要重启云主机资源使绑定的网卡生效。 注意 重启会导致服务中断，且重启过程中无法执行其他操作，请在业务空闲时进行重启。 1. 在目标资源的操作列，单击“更多 > 重启”，重启云主机。 2. 在弹出的提示框中，单击“确定”，资源状态变更为“重启中”，待状态变更为“运行中”时，表示重启完成。 说明 若重启失败，可再次单击“更多 > 重启”重试。

当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。 攻击案例 竞争对手控制数台主机，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置对指定路径下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有URL进行防护。 限速模式：选择“源限速”、“IP限速”，根据IP区分单个Web访问者。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：防止误拦截正常用户，选择“人机验证”。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 当用户访问超过限制后需要输入验证码才能继续访问。进入防护事件页面，可以查看攻击事件详情。

说明 变更可用区功能目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。 当可用区资源不足限制实例扩缩容、需要加强容灾能力或有其他迁移需求需要将现有实例切换到其它可用区时，您可以直接在控制台迁移实例至新的可用区。此过程将保留实例的所有数据、账户信息不变，除Cluster系列变更可用区外，其他系列实例连接地址不变。 前提条件 Redis缓存实例处于“运行中”状态。 注意事项 基础版、增强版实例 在某些场景下，迁移可用区不会导致连接闪断，但在其他场景中仍可能引发连接闪断。因此，请确保业务具有重连机制并在业务低峰期执行。 ✅不闪断 实例当前为单可用区，增加备可用区（主可用区不变）。 实例当前为双可用区，更换备可用区（备可用区无主节点）。 ⚠️ 闪断 变更主节点所在可用区（包含主从切换导致主节点在备可用区时变更备可用区）。 读写分离实例读请求访问了备可用区节点时变更备可用区。 支持的迁移类型和场景 支持的迁移类型 常见场景 从单可用区迁移至单可用区 将实例迁移至ECS所属的可用区，同一可用区ECS和实例通过内网连接拥有更低的网络延迟。 从双可用区迁移至双可用区 将实例迁移至ECS所属的可用区，同一可用区ECS和实例通过内网连接拥有更低的网络延迟。 从单可用区迁移至双可用区 提高实例的容灾能力，实现跨机房容灾。 单可用区实例可以承受服务器和机架级别的故障，而多可用区实例通过跨机房部署可抵御机房级别的故障，从而提升容灾能力。 从双可用区迁移至单可用区 满足特定功能的要求。 操作步骤 1. 登录 [Redis管理控制台](

安装插件 新UI支持使用独享型负载均衡实例。 步骤 1 登录CCE控制台。 步骤 2 在左侧选择“插件市场”，找到“nginxingress”插件，单击“安装”。 步骤 3 填写配置参数。 选择集群 ：选择要安装的集群 规格配置 ：请根据业务需求选择插件规格，可自定义资源规格部署。 负载均衡器 ：支持对接共享型或独享型负载均衡实例，如果可用实例，请先创建。负载均衡器需要拥有至少两个监听器配额，且端口80 和 443 没有被监听器占用。 nginx配置参数 ：配置nginx.conf文件，将影响管理的全部Ingress，相关参数可通过configmap查找，如果您配置的参数不包含在configmap所列出的选项中将不会生效。 默认404服务 ：默认使用插件自带的404服务。支持自定义404服务，填写“命名空间/服务名称”，如果服务不存在，插件会安装失败。 步骤 4 单击“安装”。 版本记录 CCE插件版本记录 插件版本 支持的集群版本 社区版本（仅1.17及以上版本集群支持） 2.1.1 /v1.(192123)./ 1.2.1 2.1.0 /v1.(192123)./ 1.2.0 2.0.1 /v1.(192123)./ 1.1.1 1.3.2 /v1.(15171921)./ 0.49.3 1.2.6 /v1.(151719)./ 0.46.0 1.2.5 /v1.(151719)./ 0.46.0 1.2.3 /v1.(151719)./ 0.43.0 1.2.2 /v1.(1517)./ 0.43.0

本文介绍如何查看容器列表及列表参数说明。 在容器安全的实时监测页面，支持按“节点”和“命名空间”进行分类查看集群中的容器信息。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 分类查看容器信息：选择“节点”和“命名空间”页签，可以更直观地分类查看集群中各个节点和各个命名空间上的容器信息。 4. 查看汇总统计信息：容器列表上方汇总展示了当前节点或命名空间中各类型的容器数量，包括运行中容器、特权容器、节点启动容器、有漏洞的容器和有异常行为的容器等，单击想要查看的容器类型，下方容器列表会根据单击选择的条件进行筛选。 5. 随着在左侧树形结构中的选择改动，右侧统计结果将响应式动态变化。 6. 查看容器列表：容器列表内，支持按照“容器名称”、“镜像名称”、“Pod名称”、“容器标签”、“容器IP”、“容器类型”、“运行状态”、“安全状态”等进行筛选查询。 容器列表内各参数说明如下： 参数 说明 容器名称 容器的名称。 容器类型 容器类型分为集群启动容器、节点启动容器和特权容器。 Pod名称 容器所属Pod的名称。 应用 容器所提供的应用服务，如kubernetes、apache、nginx等。 镜像名称 关联镜像是指该容器基于哪个镜像构建的。 运行状态 运行状态分为运行中、停止运行、已暂停、已删除。 安全状态 安全状分为“有异常”和“无异常”，有异常是指触发了安全策略产生告警的容器。 7. 查看图标说明：在容器列表左下角，可查看容器列表中图标的说明信息，前三个图标（节点启动容器、集群启动容器、特权容器）表示的是容器类型，其余图标表示的是容器列表中的应用。

本页介绍天翼云TeleDB数据库如何新增、修改和删除告警。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击告警管理 > 告警规则管理 ，进入告警规则页面。 2. 在当前实例下拉框选择目标实例，进入目标实例告警管理页面。 3. 搜索事件告警或指标告警。 单击事件告警 或指标告警 ，您可在查询条件下拉框，选择开启 或关闭 ，输入告警名称，单击查询 ，搜索出事件告警或指标告警。 4. 新增、修改或删除事件告警。 1. 单击新增事件告警 ，出现新增事件告警对话框。 2. 在告警事件下拉框，选择告警事件，告警开启状态，单击确定完成新增告警。 3. 单击编辑 ，可在编辑事件告警对话框中，修改告警开启状态。 4. 单击删除 ，在提示框中，单击确定 可删除事件告警。 5. 新增、修改或删除指标告警 1. 单击新增指标告警，出现新增指标告警对话框。 2. 进入指标告警对话框，根据下表输入参数信息，单击确定 完成新增指标告警。 参数 说明 告警名称 自定义，可根据业务需求填写。 告警指标 您可根据业务需求选择节点告警或机器告警。 当选择节点告警 ，包含如下告警指标。 数据库磁盘占用量 Xlog文件数量 sql执行最长时间 sql执行平均时间 每分钟请求数 每分钟查询请求数 每分钟插入请求数 每分钟更新请求数 每分钟删除请求数 每分钟其他请求数 缓存命中率 当前连接数 剩余xid 当选择机器告警 ，包含如下告警指标。 CPU使用率 CPU负载 内存使用率 磁盘使用率 网络入流量 网络出流量 tcp连接数 指标维度 指标维度包含如下： 全部 GTM节点 CN 数据主节点 数据备节点 告警条件 可选择一个区间范围，大于0或小于0。 检测频率 1分钟 5分钟 10分钟 20分钟 告警开启状态 开启 关闭 3. 单击编辑，在编辑指标告警对话框，可修改参数信息。 4. 单击删除 ，在出现的提示框，单击确定可删除指标告警。

本小节介绍开启容器防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “企业主机安全 > 资产管理 > 容器管理”页面“容器节点管理”中“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、 在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 容器节点管理 4、在“节点列表”中单击目标服务器“操作”列的“开启防护”，为需要开启防护的节点开启防护。 5、您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启节点防护。 包年/ 包月 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“包年/包月”，阅读并确认“《容器安全服务免责声明》”。 “防护配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“按需计费”，阅读并确认“《容器安全服务免责声明》”。 6、在弹出的提示框中，阅读“《容器安全服务免责声明》”后，并勾选“我已阅读并同意《容器安全服务免责声明》”。 7、单击“确定”，开启节点防护，目标服务器“容器防护状态”变更为“防护中”，说明该节点已开启防护。 注意 一个容器安全配额防护一个集群节点。

本文介绍访问CDN加速内容响应403状态码可能的原因及解决方案。 问题现象 请求CDN加速资源时，CDN节点响应403状态码，无法访问资源。 可能原因及解决方案 场景一：加速域名在CDN平台上未配置 若域名未在CDN加速平台进行配置，该域名请求访问到CDN节点时，CDN会直接响应403。具体报错如下： 解决方案：针对加速域名未在CDN平台配置的情况，可以将需要加速的域名在CDN平台上配置，配置完成后，进行对应的CNAME ，再重新请求对应的资源。 场景二：源站响应403问题 当用户端对该资源发起请求，CDN转发回源，源站如果响应403状态码给CDN，CDN会将403响应给用户端。具体报错如下： 解决方案：针对源站响应的403，需要源站排查对应原因，源站修改对应响应后，用户端再重新发起请求。 场景三：鉴权问题 域名在CDN平台配置了鉴权规则，如果请求的URL鉴权计算方式错误、鉴权过期、没有携带鉴权参数都可能导致响应403。具体报错如下： 解决方案：针对鉴权引起的403问题，如果是没有携带鉴权参数，请重新发起带有鉴权规则的URL请求，如果业务不需要鉴权功能，可以登录CDN控制台，关闭对应的鉴权功能，生效后再重新请求对应的资源；如果是鉴权过期和鉴权的计算方式错误，需要重新根据配置的鉴权规则生成新的URL，再请求重新生成的URL资源。

计费项 云数据库ClickHouse集群的计费包括ClickHouse节点和Zookeeper节点的规格和数量、存储空间，计费规则如下： 节点机器计费： 计费公式：节点机器费用 计算节点单价 × 节点数量 × 使用时长。 根据所选的节点数量、使用时长以及每个节点的计算单价计算节点机器的费用。 存储空间计费： 计费公式：存储空间费用 存储单价 × 存储空间 × 节点数量 × 使用时长。 根据存储单价、存储空间、节点数量和使用时长计算存储空间的费用。 计费模式 预付费（包年包月) 预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 计费周期：按月计费，以自然月为计费单位，包年享受官网对应的折扣。 建议场景：计划长时间业务使用，建议选择包年包月计费模式 按需计费 预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 建议场景：测试场景或其他非长期业务场景，可以选择按需计费模式（按需计费模式下整月费用相较于包月模式费用高） 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 按需计费模式和预付费模式（包年包月）可以按用户实际需要进行转换操作 操作路径：实例管理 > 选择指定实例 >操作 > 更多 > 转包周期或转按需

本章节主要介绍高频问题 新创建应用、服务等资源后，AOM界面为何不实时显示监控数据？ 当您新创建了主机、应用、组件、进程等资源后，ICAgent会以10分钟为周期进行周期性监控数据上报，AOM界面需要等待一个上报周期后方可展示相关监控数据。 删除主机、工作负载等资源后，AOM界面为何仍然显示资源状态为正常？ 当您在CCE集群中删除了主机或工作负载等资源后，在AOM“主机监控”或“容器监控”界面显示资源状态仍为正常。此为正常现象，这是由于AOM“主机监控”或“容器监控”界面不会立即将资源状态置为已删除，而是会等待30分钟后将已删除的资源状态置为已删除。 如果界面上点击升级操作失败，该怎么办？ 自定义集群场景下，如果界面上点击升级操作失败，您可以登录到vm节点上，直接执行安装命令再次安装即可。 ICAgent的安装是覆盖式安装，无需先卸载，直接安装即可。 采集的日志文件是什么类型的？ 在配置日志采集路径时，若日志采集路径配置的是目录，则默认采集目录下的日志（只采集.log、 .trace和 .out类型的文本日志文件）；若配置的为具体某个文件，则直接采集对应文件。指定文件必须为文本文件，不支持其他类型（例如二进制日志文件）的日志文件。 采集器ICAgent对资源的占用大吗？例如内存、CPU。 AOM对基础指标的采集，包含VM、容器、进程的CPU、内存等基础指标。 资源消耗：对此类指标采集时，采集器ICAgent对资源的消耗和容器、进程个数相关。 正常业务量情况下，采集器ICAgent消耗内存约30M、单核CPU约3%。 使用限制：单节点上运行容器个数小于1000个。 保护机制： 采集器ICAgent对CPU资源的消耗最大不超过2核。 当采集器ICAgent对内存的消耗超过min{4G，节点物理内存/2}时，AOM将启动采集器重启保护。

当您选择了云主机接入方式时，云日志服务可以将主机待采集日志的路径配置到日志流中，ICAgent将按照日志采集规则采集日志，并将多条日志进行打包，以日志流为单位发往云日志服务，您可以在云日志服务控制台实时查看日志。 前提条件 已安装ICAgent并添加至主机组。 操作步骤 云日志服务接入方式选择云主机 ECS文本日志时，按照如下操作完成接入配置。 步骤 1 登录云日志服务控制台。 步骤 2 在左侧导航栏中，选择“日志接入”，单击“云主机 ECS文本日志”进行主机接入配置。 步骤 3 选择日志流。 1. 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 2. 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 3. 单击“下一步：选择主机组”。 步骤 4 选择主机组。 1. 在主机组列表中选择一个或多个需要采集日志的主机组，若没有所需的主机组，单击列表左上方“新建”，在弹出的新建主机组页面创建新的主机组，具体可参考创建主机组。 主机组可以为空，可以在接入配置设置完成后对主机组进行设置。 在“主机管理 > 主机组”页面对主机组和接入配置进行关联。 在接入配置详情中对主机组和接入配置进行关联。 2. 单击“下一步：采集配置”。 步骤 5 采集配置。 对主机日志采集设置具体的采集规则，具体请参考采集配置。 步骤 6 完成。 接入成功，可以单击“返回接入配置列表”查看日志接入，也可单击“查看日志流”查看该日志流下的采集日志。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3os7qq79xc/IdentityCard/ocr/v1/idcard.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3p1pnxpqm8/ocrdetect/ocr/v1/image.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云全站加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在全站加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给全站加速节点。 4. 全站加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与全站加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与全站加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。

操作场景 为生产站点与容灾站点建立绑定关系。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面右上角，单击“创建站点复制对”。 4. 选择需要创建的站点复制对类型，根据界面提示配置参数，参数说明表如下表所示 1. 跨可用区：生产站点和容灾站点位于同区域内不同可用区 2. 跨区域：生产站点和容灾站点位于不同区域 3. IDC上云：生产站点为本地数据中心。 表 参数说明 参数 说明 取值样例 类型 选择需要创建的站点复制对类型。 跨可用区 复制场景 选择需要创建的复制场景。当前支持类型：H2C（IDC容灾到云平台）。仅当创建“IDC”类型的复制对时，需要设置复制场景。 H2C 名称 站点复制对名称。 名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 Sitereplication001 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 区域 生产站点所在的区域。 说明 仅当创建“跨区域”类型的复制对时，需要设置区域。 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 可用区 生产站点服务器所在的可用区。 说明 当创建“跨区域”和“跨可用区”类型的复制对时，需要设置可用区。 AZ1 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 网络 生产站点服务器所在的VPC。 VPC01 容灾站点 区域 容灾站点所在的区域。 选择搭建云上容灾专有网络时选择的区域。 说明 仅当创建“IDC上云”和“跨区域”类型的复制对时，需要设置区域。 容灾站点 可用区 容灾站点服务器所在的可用区。 AZ2 容灾站点 网络 容灾站点服务器所在的VPC。 VPC02

在删除密钥前，您需要确保该密钥没有被使用或将来也不会被使用。您可以通过以下方式确定密钥的使用情况。 前提条件 待删除的密钥需处于“启用”、“禁用”、“等待导入”或“冻结”状态。 约束条件 执行删除密钥操作后，密钥不会立即删除，密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。 在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。若超过推迟时间，密钥将被KMS彻底删除，使用该密钥加密的数据将无法解密，请谨慎操作。 默认密钥为服务自动创建，不支持删除操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要删除的密钥所在行，单击“删除”。 步骤 5 在弹出的窗口中，填写“推迟删除”的时间。 说明 密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 步骤 6 勾选“我已知晓删除以上密钥产生的影响”，单击“是”，完成删除单个密钥操作。 说明 如果您想批量计划删除密钥，可以勾选所有需要计划删除的密钥，然后在列表左上角，单击“删除”。

本节主要介绍对比灾备项 对比灾备项可以对比业务数据库和灾备数据库的数据一致性。灾备对比功能支持对象级对比和数据级对比。 对象级对比：支持对数据库、索引、表、视图等对象进行对比。 数据级对比：支持对表的行数进行对比。为了确保对比结果具有可参考性，请通过“稍后启动”功能在业务低峰期或者无业务期进行数据对比，业务运行期间由于数据的持续变化，仅适合对一些业务的低频率修改的冷数据进行对比。 说明 如果单独对灾备库进行数据修改操作，有可能数据检验不准确 为避免占用资源，DRS对行对比的时长进行限制，超过限制时长，行对比任务自动停止。源库是关系型数据库时，行对比限制时长为60分钟；源库为非关系型数据库时，行对比限制时长为30分钟。 前提条件 已登录数据复制服务控制台。 操作步骤 步骤 1 在“实时灾备管理”界面，选中指定灾备任务，单击任务名称，进入“基本信息”页签。 步骤 2 单击“灾备对比”页签，进入“灾备对比”信息页面，对业务数据库和灾备数据库的数据进行对比分析。 1. 首先进行数据库对象完整性检查。 在“对象级对比”页签，查看各个对比项的对比结果。 若需要查看对比项的对比结果详情，可单击指定对比项操作列的“详情”。 2. 对比任务提交成功后，返回“数据级对比”页签，单击刷新列表，可以查看到所选对比类型的对比结果。 3. 若需要查看对比类型详情，可单击指定对比类型操作列的“查看对比报表”，然后选择需要进行对比的数据库，单击操作列的“查看详情”，查看指定业务数据库和灾备数据库的对比结果详情。 说明 已取消的对比任务也支持查看对比报表。

本章节主要介绍ALM12034 周期备份任务失败。 告警解释 系统每60分钟执行周期备份任务，如果周期备份任务执行失败，则上报该告警，如果下次备份执行成功，则恢复告警。 告警属性 告警ID 告警级别 是否自动清除 12034 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 任务名 任务名称。 对系统的影响 周期备份任务失败，可能会导致长时间没有可用的备份包，在系统出现异常时，无法恢复。 可能原因 该告警产生原因依赖于该任务的详细情况，直接获取日志和任务详情来处理该告警。 处理步骤 查看磁盘空间是否不足 1. 在FusionInsight Manager管理界面，选择“运维 > 告警 > 告警”。 2. 在告警列表中单击该告警的，从“定位信息”处获得“任务名”。 3. 选择“运维 >备份恢复 > 备份管理”。 4. 根据“任务名”查找对应备份任务，单击“操作”栏下的“更多”按钮，在弹出的窗口中单击“查询历史”按钮，查看备份任务的详细信息。 5. 在弹出的日志详情窗口中，单击，查看是否有“Failed to backup xx due to insufficient disk space, move the data in the /srv/BigData/LocalBackup directory to other directories.”的信息。 是，执行步骤6。 否，执行步骤13。 6. 单击“备份路径”下的“查看”，获取备份路径。 7. 以root用户登录节点，执行以下命令查看节点挂载详情： df h 8. 在挂载详情中查看备份路径挂载点的剩余空间是否小于20GB。 是，执行步骤9。 否，执行步骤13。 9. 查看备份目录下是否有很多备份包。 是，执行步骤10。 否，执行步骤13。 10. 将备份包移出备份目录，或者直接删除备份包，直到备份目录挂载节点剩余空间大于20GB。 11. 再一次启动该备份任务，查看备份任务是否执行成功。 是，执行步骤12。 否，执行步骤13。 12. 等待2分钟，检查告警是否消除。 是，结束操作。 否，执行步骤13。

本章节主要介绍如何创建多可用区的副本集实例。 DDS支持创建多可用区的副本集实例。相比单可用区副本集，多可用区副本集具备更高的容灾能力，可以抵御机房级别的故障。如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 使用须知 目前仅部分区域支持创建多可用区副本集实例，具体请以实际的控制台为准。 多可用区部署的前提需要满足该区域下有3个及3个以上的可用区选项。 实例选择多可用区部署时，实例下的主节点、备节点和隐藏节点分别部署在三个不同的可用区内。 部署架构对比 单可用区 实例选择单可用区部署时，实例下的Primary、Secondary和Hidden节点部署在相同的可用区内。 单可用区部署 多可用区 实例选择多可用区部署时，实例下的Primary、Secondary和Hidden节点分别部署在三个不同的可用区内，可实现跨可用区容灾部署能力。 多可用区部署 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 配置实例信息后，单击“立即购买”。 可用区：选择多可用区选项。如下图所示。 选择多可用区 步骤 6 根据提示确认订单，完成订单支付。

前提条件 由于该操作会在源实例上新生成恢复后的库表，请确保您的源实例磁盘空间充足。 恢复单个实例的库表数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏，选择“备份恢复”，单击“库表时间点恢复”。 步骤 6 填选恢复信息，单击“下一步：确认恢复信息”。 为了方便您操作，所需恢复的数据库和表名支持搜索。 系统会自动生成以时间戳为后缀的库表名，如果需要，您也可以自定义恢复后的库表名。 表名不能重复且满足：名称长度在1~64个字符之间，只能包含字母、数字、下划线、中划线或$，不能包含其他特殊字符并且不能与同库下的表名重名。 不支持带中文的库名和表名恢复。 不支持库名带“.”字符的数据库恢复。 库级时间点恢复过程中，如果创建同名库，可能导致数据丢失。 库级时间点恢复，单个实例一次最多恢复2000个库，单个实例一次最多恢复20000张表。 步骤 7 信息确认无误后，单击“立即恢复”。 步骤 8 在“实例管理”页面，可查看该实例状态为“恢复中”，恢复过程中该实例业务不中断。 同时，您可在“任务中心”页面，查看“库表时间点恢复”任务的执行进度及结果。 恢复成功后，您可根据实际情况对库表进行数据处理。 结束 说明 恢复时长和实例的整体数据量有关，平均速度约为20MB/s。 通过库表时间点恢复备份，不会影响新增数据。恢复出来是一个带有时间戳后缀的临时库表，用户可以根据实际情况对这个临时库表的数据进行处理。

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在左侧导航栏单击“备份管理”，选择需要恢复的备份，单击操作列的“恢复”。 您也可在“实例管理”页面，单击指定的实例名称，在左侧导航栏单击“备份恢复”，在“全量备份”页签下单击目标备份对应的操作列中的“恢复”。 步骤 5 选择需要的恢复方式，单击“确定”。 新实例：将备份恢复到新创建的实例上。 跳转到“恢复到新实例”的服务选型页面： − 新实例的数据库引擎和数据库版本，自动与原实例相同。 − 存储空间大小默认和原实例相同，且必须大于或等于原实例存储空间大小。 − 其他参数默认，用户可设置，请参见购买。 已有实例（非原实例）：将备份数据恢复到已经存在的实例上。 a. 勾选“我确认恢复到目标实例会导致数据被覆盖，恢复过程中数据库不可用。目标实例引擎类型、版本号要求与原实例相同，且存储空间大于等于原实例。”，单击“下一步”。 b. 确认恢复信息无误，单击“确定”。 步骤 6 查看恢复结果。 恢复到新实例 RDS会为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。如需使用只读实例，请重新在该实例上进行创建。 新实例创建成功后，系统会自动执行一次全量备份。 恢复到已有实例（非原实例） 在“实例管理”页面，可查看目标实例状态为“恢复中”，恢复完成后，实例状态由“恢复中”变为“正常”。如果目标实例下存在只读实例，只读实例的状态与目标实例一致。 恢复成功后，会执行一次全量备份。 结束

告警模板是一组以服务为单位的告警规则组合，方便用户对同一个云服务下多个资源批量创建告警规则。云监控服务根据各云服务的服务属性提供了推荐使用的告警模板，同时也支持您根据自身需求选择监控指标来创建告警模板。 查看告警模板 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击“告警 > 告警模板”，进入“告警模板”页面。 这里您就可以查看已经创建的告警模板，可以创建自定义告警模板，也可以对已创建的自定义告警模板进行修改、删除等操作。 创建自定义告警模板 1. 在“告警模板”界面，单击“创建自定义告警模板”。 2. 在“选择类型”界面，参考表11进行参数配置。 表 11配置参数 参数 参数说明 :: 资源类型 配置告警规则监控的服务名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称。 取值样例：弹性云主机 是否从现有模板导入 是 选择一个已有模板名称，自动添加默认告警规则。 否 手动添加告警规则。 3. 参数配置完成后，点击“下一步”，进入“添加告警规则”页面，参考表12进行参数配置。 表12配置参数 参数 参数说明 :: 监控指标 例如： CPU使用率 该指标用于统计测量对象的CPU使用率，以百分比为单位。 内存使用率 该指标用于统计测量对象的内存使用率，以百分比为单位。 告警策略 触发告警的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80%。 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 操作 当自定义告警规则大于等于两个时，可以删除自定义告警规则。 4. 告警规则添加完成后，单击“下一步”，进入“模板信息”配置页面，参考表13完成模板信息配置。 表13配置参数 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmTemplateku0x 描述 告警模板描述（此参数非必填项）。 5. 单击“创建”，完成创建自定义模板。

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

本章节介绍如何创建数据类追踪器。 云审计服务提供的追踪器分两类，包括管理类追踪器和数据类追踪器。 管理类追踪器用于记录管理事件，即针对所有云资源的操作日志，例如创建、登录、删除等。 数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 操作场景 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 在开通云审计服务时，系统已为您自动创建了一个管理事件追踪器，管理事件追踪器只能有一个，故后续您自行创建的追踪器均为数据类事件追踪器。 使用限制 CTS仅记录最近7天内的操作事件，您需要配置追踪器来保存更长时间的事件，否则将无法追溯7天前的操作事件。追踪器会将事件持续保存到您指定的LTS日志流或者OBS桶中。 前提条件 已开通云审计服务。 创建数据类事件追踪器 1. 登录管理控制台。 2. 在服务列表选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 3. 在左侧导航栏选择“追踪器”，单击页面右上角的“创建追踪器”。 4. 基本信息。新建“追踪器名称”便于识别。单击“下一步”，基本信息填写成功。 数据类事件追踪器命名规则：名称只能包含大小写字母、数字、和，且必须由大小写字母或数字开头。名称不能为空，且输入长度不能超过32个字符。名称不能为“system”或“systemtrace”。 5. 在选择追踪对象页面，填写相关参数，详细参数说明见表 选择追踪对象参数表 ，单击“下一步”。 6. 在配置转储页面，填写相关参数，单击“下一步”。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 7. 预览追踪器信息无误后，单击“创建”完成追踪器的创建。 表 选择追踪对象参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 在下拉列表中选择对应OBS桶。 创建完成后，OBS桶名称不可修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。