本节介绍了如何操作云数据库TaurusDB实例的只读节点升为主节点。 TaurusDB是一个多节点的实例，其中一个节点是主节点（Master），其他节点为只读节点。除了因系统故障自动切换外，对于用于高可用演练，或者需指定某个节点为主节点的场景，您也可以手动切换，指定一个只读节点为新的主节点。 手动切换 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面的实例列表中，选择对应实例，单击实例名称进入“基本信息”页面。 步骤 5 在“基本信息”页面的“节点信息”模块，选择目标只读节点，在“操作”列单击“只读升主”。 步骤 6 在弹出框中单击“是”。 切换时可能会出现30秒左右的闪断，请确保应用具备重连机制。 切换过程中节点运行状态为“只读升主中”，此过程大概需要几秒或几分钟。 切换完成后，节点运行状态变为“正常”，您可查看到原先的只读节点和主节点的角色已经互换。 注意 只读升主操作可能会造成几秒或几分钟的服务闪断。 只读升主操作会导致读内网地址发生切换，为避免对您的业务产生影响，建议使用网络信息中的“读写内网地址”连接实例。

本节主要介绍了使用IAM进行用户分权管理的场景和方法。 应用场景 某公司有多个员工需要访问、操作存储资源，由于每个员工的工作职责不同，需要的权限也不同： 将控制台登录用户和编程用户区分。 可以根据不同的职能为用户分配权限。 只有管理员可以进行较为敏感的日常操作。 不同的管理人员可以查看不同方面的保密数据。 目前该公司希望： 主管A和主管B均有保密数据的查看权限。 主管A可以在MFA认证的情况下对IAM用户进行管理和变更。 主管B可以进行操作跟踪管理，查看账户的操作记录。 员工C和员工D可以查看存储桶的文件。 编程用户可以对存储桶上传文件。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体方法 IAM用户分组及对应权限策略如下表所示。 IAM用户组 包含用户 策略说明 访问方式 ::: 保密数据权限组 主管A和主管B 查看secretBucket内的保密数据，但不可以更改。 控制台访问 IAM管理组 主管A 可以进行IAM的相关管理操作。 控制台访问 操作跟踪管理组 主管B 可以进行操作跟踪的相关管理操作，查看操作跟踪Bucket中的数据。 控制台访问 查看文件组 员工C和员工D 查看上传文件权限。 控制台访问 上传文件组 编程用户 通过API可以向指定的Bucket内写入数据。 编程访问

本文介绍了云防火墙(原生版)产品的访问控制日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 访问控制日志”，进入访问控制日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、规则名称、协议、判断来源、动作、目的IP地址、目的端口、源IP地址、源端口、方向进行筛选。 5. 访问控制日志列表包括命中时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、方向、动作、命中规则名、判断来源。 查看日志详情 单击操作列的“详情”，可以查看日志命中的规则。 在该页面中，展示了命中规则的优先级、名称、源IP地址、目的IP地址、源端口、目的端口、协议、应用、动作、描述和启用状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

产品升级 1. 天翼云门户和天翼云电脑应用内进行订购的用户，可在天翼云电脑移动客户端进行升级配置操作（电信营业厅订购用户请前往当地营业厅咨询办理）。 2. 云电脑公众版支持配置升级，但不支持配置降级。 3. 最终费用以页面实际显示为准。 产品扩容 1. 天翼云门户和天翼云电脑应用内进行订购的用户，可在天翼云电脑移动客户端进行扩容操作（电信营业厅订购用户请前往当地营业厅咨询办理）。 2. 天翼云电脑（公众版）的数据盘支持扩容，但不支持缩容。 3. 最终费用以页面实际显示为准。 产品续订 1. 天翼云门户和天翼云电脑应用内进行订购的用户，可在天翼云电脑移动客户端进行续订操作（电信营业厅订购用户请前往当地营业厅咨询办理）。 2. 如云电脑已购买了数据盘，进行续订时，云电脑和数据盘将同时续订。 3. 云电脑使用到期后，数据资料将保留15天，期间续订需要扣除数据保留时长的费用。 4. 最终费用以页面实际显示为准。 5. 更多续订说明，请参考 续订规则

高效部署 支持云磁盘作为系统盘快速发放；分钟级发放物理机，不受资源约束，满足用户对资源弹性和快速部署需求。 基于统一console控制台，支持自助式资源生命周期管理和运维管理。 快速响应 专业的运维团队，硬件、网络故障将被直接处理，快速响应。 监控可视化，配件齐全，一旦出现故障及时替换，保证用户可用性。 灵活组合 支持与云主机混合组网，操作简单，满足不同业务部署需求。 高可靠存储 采用云磁盘作为数据持久化，支持服务器重建，整体可用性、可靠性高于传统服务器。 支持在线挂载、卸载云硬盘，满足用户对弹性存储的诉求。 支持云磁盘作为系统盘和数据盘、硬盘备份恢复能力。 支持共享磁盘，更好地满足搭建集群高可用场景的应用。

本节主要介绍HBlock使用的数据目录怎么自动挂载。 应用场景 服务器已使用mount命令挂载HBlock使用的数据目录，需要开机后自动挂。 前提条件 服务器已使用mount命令挂载HBlock数据目录。 具体操作 1. 使用命令lsblk f查看数据目录的文件系统信息，找到文件系统对应的UUID。 [root@server ~] lsblk f vda ├─vda1 swap 9e33bd6fc68c41c795c8703f4fe8c3d4 [SWAP] └─vda2 xfs a83f4fdc2ea14feca1e2a42016ce0afe / vdb └─vdb1 ext4 c62d513ec3cf4719b15c4366e4b52664 vdc └─vdc1 ext4 1c47025a602842ce90aa59d6f5106818 /mnt/storage01 2. 在/etc/fstab文件中新增挂载目录的信息，下次开机启动时会自动挂载该目录。 UUID1c47025a602842ce90aa59d6f5106818 /mnt/storage01 ext4 defaults 1 1

如何选择磁盘空间？ Kafka支持多副本存储，副本数量为3。存储空间包含所有副本存储空间总和，因此，您在创建Kafka实例，选择初始存储空间时，建议根据业务消息体积预估以及副本数量选择合适的存储空间。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3+ 预留磁盘大小100GB。 如何选择实例带宽？ Kafka实例的网络带宽指单向（读或写）最大带宽。一般建议选择带宽时建议预留30%，确保您的应用运行更稳定。 100MB/s，业务流量为70M以内时推荐选用。 300MB/s，业务流量为210M以内时推荐选用。 Kafka支持磁盘加密吗？ 分布式消息服务Kafka不支持磁盘加密。 Kafka扩容会影响业务吗？ Kafka的扩容过程可能会对业务产生一定的影响，具体取决于您的扩容策略和实施方式。以下是一些可能的影响： 重分区和重新分配：当您需要扩容Kafka集群时，可能需要进行重分区和重新分配。这涉及到数据的重新分布和重新平衡，可能会导致一段时间内的性能下降和延迟增加。在重分区和重新分配期间，Kafka会重新分配副本、重新分区数据，并且可能需要重新加载和重新平衡消费者群组。 网络和磁盘负载增加：扩容Kafka集群意味着增加了更多的节点和副本，这可能会增加网络和磁盘的负载。数据的复制和同步可能会导致网络带宽的消耗，而新增的节点和副本可能会增加磁盘的写入和读取负载。

前言——私有知识库作用简介 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍一种基于开源框架的私有知识库搭建方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 教程使用配置说明：C7通用型云主机 plaintext cpu 8核 内存 32G 优势 知识准确性：让模型访问定制的信息，从而提高回答的准确性和可靠性。 可解释性：检索过程可以明确指出回答所依据的信息来源，增强了回答的可解释性。 减少幻觉：降低了语言模型生成无事实依据内容（即“幻觉”）的可能性。 一、deepseek自部署 请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云 自定义部署DeepSeek。

本节主要介绍方案概述 方案概述 应用场景 近年，各城市都上线了“一网通办”等跟国计民生相关的系统，此类系统由于突然的访问量暴增导致系统响应慢，更有甚者会导致系统宕机，给大家的日常生活带来不小的影响。 某些城市在整点时刻下发消费券，广大市民在一网通办App或者小程序进行领取。 在每年年初，市民会对个人所得税主动申报，大多市民会集中在1月份至3月份进行年度申报。 以上情况均对一网通办的系统有较高的性能要求。 方案架构 针对当前现状，为避免流量高峰期使用出现系统崩溃，而给生活带来不便，性能测试通过模拟相关实际场景，快速构造压力模型，发现不同压力模型下服务的性能瓶颈，避免宕机。 一网通办系统场景压测模板提供以下几种实际场景模拟。 场景一：市民年初申报个人所得税 大型城市（1000w+人口）从1月份至3月份是市民申报个人所得税的高峰期。 场景分析：整个系统呈现持续性的超大流量涌入。 参考模型及方案：采用并发模式的多阶段施压性能测试模型。 按照起始流量性能施压一段时间。 施加突发流量。 保持突发流量压力较长周期。例如，起始流量并发值1000，施压10分钟；突发10倍标称流量，并发值10000，施压120分钟。 模型样例1

本节主要介绍复制参数模板。 操作场景 您可以复制您创建的自定义数据库参数模板。当您已创建一个数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案。您还可以导出某数据库实例应用的参数列表，生成一个新的参数模板，供您后期使用。 您无法复制默认参数模板。不过，您可以创建基于默认参数模板的新参数模板。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏，单击“参数模板管理”。 4. 在参数模板管理页面的“自定义”页签，选择需要复制的参数模板，单击“复制”。 除了上述操作，您还可以在“实例管理”页面，单击实例名称，在左侧导航栏，单击“参数修改”，单击“导出”，将该实例对应参数列表导出并生成一个参数模板，供您后期使用。 5. 在弹出框中，填写新参数模板名称及描述，单击“确定”。 图1 复制参数模板 参数模板名称在1位到64位之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 描述不能超过256位，且不能包含回车和> ! < " & ' 特殊字符。 创建完成后会生成一个新的参数模板，您可在参数模板列表中对其进行管理。

本章介绍函数工作流如何配置环境变量。 概述 环境变量可以在不修改代码的情况下，将动态参数传递到函数，调整函数的执行行为。 应用场景 区分多环境：相同的函数逻辑，可根据部署环境的不同，配置不同的环境变量以区分。例如，通过环境变量给测试和开发环境配置不同的数据库。 配置加密：函数中访问其他服务的认证信息，例如账号和密码，ak/sk，可通过配置加密环境变量，在代码中动态获取，保证敏感数据的安全。 动态配置：函数逻辑中需要动态调整的配置，例如查询周期、超时时间，可提取为环境变量避免业务每次变化都需要修改代码。 操作步骤 设置FunctionGraph函数的加密配置和环境变量，无需对代码进行任何更改，可以将设置动态参数传递到函数代码和库。 添加环境变量 例如Node.js语言加密配置和环境变量的值(value)可以通过Context类中的getUserData(string key)获取。 注意 设置加密配置、环境变量时，用户自定义的键(key)/值(value)，键(key)输入规范：可包含字母、数字、下划线，以大/小写字母开头。 设置“键”和“值”的总长度不超过4096个字符。 设置环境变量时，FunctionGraph会明文展示所有输入信息，请不要输入敏感信息（如帐户密码等），以防止信息泄露。 打开加密开关之后，界面上会对键值进行加密，参数传输过程中键值也处于加密状态。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

本章节主要介绍使用Hive加载HDFS数据并分析图书评分的实践。 MRS离线处理集群，可对海量数据进行分析和处理，形成结果数据，供下一步数据应用使用。 离线处理对处理时间要求不高，但是所处理数据量较大，占用计算存储资源较多，通常通过Hive/SparkSQL引擎或者MapReduce/Spark2x实现。 本实践基于天翼云翼MapReduce服务，用于指导您创建MRS集群后，使用Hive对原始数据进行导入、分析等操作，展示了如何构建弹性、低成本的离线大数据分析。 基本内容如下所示： 1. 创建MRS离线查询集群。 2. 将本地数据导入到HDFS中。 3. 创建Hive表。 4. 将原始数据导入Hive并进行分析。 场景描述 Hive是建立在Hadoop上的数据仓库框架，提供大数据平台批处理计算能力，能够对结构化/半结构化数据进行批量分析汇总完成数据计算。提供类似SQL的Hive Query Language语言操作结构化数据，其基本原理是将HQL语言自动转换成MapReduce任务，从而完成对Hadoop集群中存储的海量数据进行查询和分析。 Hive主要特点如下： 海量结构化数据分析汇总。 将复杂的MapReduce编写任务简化为SQL语句。 灵活的数据存储格式，支持JSON，CSV，TEXTFILE，RCFILE，SEQUENCEFILE，ORC（Optimized Row Columnar）这几种存储格式。 本实践以某图书网站后台用户的点评数据为原始数据，导入Hive表后通过SQL命令筛选出最受欢迎的畅销图书。

如何选择区域 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 ● 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 ● 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 区域和终端节点 当您通过API使用资源时，您必须指定其区域终端节点。请向管理员获取区域和终端节点信息。

资产数是什么？ 资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资产数不以设备的数量计算，而是以所管理设备上资源的数量计算，一个设备内可能有多种资源形式，包括不同协议的主机，不同类型的应用等。例如，目前有一台虚拟机，在云堡垒机中添加这台虚拟机的资源，分别添加了2个RDP、1个TELNET和1个MySQL协议的主机资源，以及1个Chrome浏览器的应用资源，那么当前管理的资产数即为5，而不是1。

本章主要介绍调用API流程。 作为API调用者调用API，您需要完成以下流程： 1. 为简易认证添加AppCode 从API提供者中获取API和文档信息。 2. 创建应用并获取授权 使用APP认证的API，需要在API网关中创建一个应用，并且绑定API后，才可以使用APP认证调用API。 3. 为简易认证添加AppCode 使用简易认证，API网关也仅校验AppCode。 4. 调用API 为简单起见，此处使用接口测试工具，通过APP认证方式中的凭证来实现对API的调用。

资产数是什么？ 资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资产数不以设备的数量计算，而是以所管理设备上资源的数量计算，一个设备内可能有多种资源形式，包括不同协议的主机，不同类型的应用等。例如，目前有一台虚拟机，在云堡垒机中添加这台虚拟机的资源，分别添加了2个RDP、1个TELNET和1个MySQL协议的主机资源，以及1个Chrome浏览器的应用资源，那么当前管理的资产数即为5，而不是1。

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端VPC内部的的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。 终端节点服务允许用户快速将其服务发布到内部网络，通过白名单授权管理，确保在确保安全的前提下，能够灵活地管理可访问的用户。这种方式可以使用户能够方便地通过内部网络共享服务。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以使用终端节点连接在VPC中自己创建终端节点服务后端应用程序，也可以通过终端节点连接天翼云提供原生服务，天翼云终端节点支持“接口”和“反向”两种类型终端节点 。 “接口”类型终端节点：是具备私有IP地址的弹性网络接口，“接口”类型终端节点可作为VPC用户访问云服务入口，为VPC提供主动访问云服务能力，"接口"类型终端节点可连接自建服务，也可以连接天翼云云提供的原生服务。 "反向"类型终端节点：同样是具备私有IP地址的弹性网络接口，"反向"类型终端节点为服务主动访问用户VPC资源的出口，服务可通过此类型终端节点主动访问VPC内的资源。

强制跳转 将请求的HTTP强制302跳转至HTTPS进行请求。 CC攻击 攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫：CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。 DDoS 分布式拒绝服务攻击是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 流量清洗 对流量进行实时监控，及时发现包括DDoS、CC攻击在内的异常流量，在不影响正常业务的前提下，清洗掉异常流量。

本章节为您简单介绍API风险监测的基本内容。 API 与应用系统安全审计系统采用旁路部署在网络靠近应用服务器的交换机上，将流量复制转发到产品中进行解析还原，分析业务系统中可被利用的脆弱性漏洞，实时监测用户异常访问数据行为，支持在泄漏发生时进行溯源分析，全方面守护企业应用数据安全。 总览页 API风险总览页面总计六个模块。 数据总览：可查看应用系统、API、账号及文件数量。 生命周期分布：查看指定时间段内的风险趋势、风险分布、生命周期分布、API敏感数据特征分布。 现存风险分布：查看目前系统内当前所有风险的统计情况。 新增风险趋势：查看近一个月内风险的新增情况。 API敏感特征分布：查看所有API中敏感信息的分布情况。 访问流量梳理：查看系统最近的访问情况。

开启定时漏洞扫描 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击定时扫描右侧的“设置”，页面右侧弹出定时扫描设置窗口，可进行定时扫描设置。 4. 设置选项包括漏洞类别、漏洞等级、定期检测周期、设置生效范围，详细参数说明如下。 参数 说明 定时扫描 开启或关闭定时扫描。 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“WebCMS漏洞”和“应用漏洞”。 定期检测周期 设置后会在周期选定的时间点开始定期检测。 扫描周期：选择每天、3天或7天。 扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。 设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。 说明 以下服务器不能被选中执行漏洞扫描： 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确定”，设置完成。

Web应用防火墙（边缘云版）智能负载均衡技术能够自动分配访问流量，保障业务的高可用性和自动容灾能力，开通智能负载均衡能力后，可以自助配置静态文件缓存在云安全节点，实现低延时的访问，达到对网站的一个加速效果。 glmoscodeexplain 如何开通智能负载均衡功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用智能负载均衡功能？ 具体功能介绍和使用请参考配置缓存功能介绍：配置缓存 注意 暂时不支持单独退订智能负载均衡，如果需要单独退订，请

本小节介绍Web应用防火墙攻击日志查询。 攻击日志展示被防护域名的所有攻击事件。 客户域名防护日志默认存储周期为180天。 查询攻击日志 1. 登录Web应用防火墙控制中心。 2. 在左侧导航栏选择“WAF攻击日志”，进入“攻击日志”页面。 访问日志分析：可提供详细的访问日志分析，包括用户来源，访问 URL、告警级别、 客户端 IP、访问者地域分布、请求时间、访问量统计等不同内容。 域名：告警域名 请求方法：http get/http post 访问URL 告警级别 客户端IP 地区 请求时间 处理方式 全量日志查询：针对输入的内容进行筛选，包括告警级别、匹配规则、处理方式、请求时间段等内容。 误报处理 查看日志详细信息，可及对日志中的误报进行处理（误报处理效果不理想可联系运维协助调整策略）。

本节介绍了使用规范相关内容。 实例规格 建议生产环境至少使用4u8g规格。由于SQL Server使用Windows系统，引擎及系统本身需要的资源较多，2u4g不适合运行生产业务，长时间运行后可能会有系统低内存及其卡顿问题。 数据库连接 连接Microsoft SQL Server时，请使用“ip,port”的方式连接，注意连接串中间为逗号。 不建议使用服务器名字连接。 应用连接数据库时建议要有重试机制，当数据库发生容灾或者断连时，应用可以通过重试及时恢复连接。 数据库迁移 迁移上云完成后，需要进行以下检查： 需要检查权限完整性。权限会影响对于数据库的方案，迁移仅会完成数据恢复，数据库用户恢复，登录名等其他服务级权限需要重新创建，并且关联数据库账户。 需要对索引进行重建。由于迁移完成后数据文件的物理环境发生了改变，数据库索引会失效，需要对索引进行重建，否则可能会导致数据库性能有明显下降。 对比参数配置。迁移上云后RDS for SQL Server会使用云上的参数模板，需要及时对比云下参数配置和云上是否匹配。由于云下参数配置是经过长期验证，所以请及时更新云上的参数配置。 使用建议 不推荐创建加域实例，Microsoft SQL Server支持创建加域实例，加域实例的域控服务器在用户侧，用户拥有较高权限，域控服务器组策略配置会影响加入该域的机器，用户侧域控规则修改会导致数据库实例的权限安全风险增加。 单实例数据库数量不要超过100个。单实例可以承载的数据库数量跟实例规格相关，数据库数量过多会导致实例性能下降，占用Worker Thread等资源。 应用不能依赖SysAdmin权限。具有SysAdmin角色的账号有超级管理员权限，使用不当会导致数据库安全与稳定性受到威胁，云数据库不开放超级管理员权限，应用使用数据库不能依赖于此权限。 不要在系统库创建表。用户数据请创建用户自定义库存放，不要在系统库创建任何表写入数据，虽然开放了使用系统库的权限，但是任何在系统库存放的数据都是不安全的。 数据库不要打开Auto Close属性。用户库可以设置Auto Close属性，打开该属性后会导致包括建立复制关系无法建立的问题，并且该属性设置后不能正常的使用该库，强烈建议不要设置。 不要将数据库设置为Single User模式。Single User模式只允许一个Session访问数据库，会导致其他Session无法访问造成云数据库的运维问题。设置Single User模式请及时恢复到Multi User模式。 慢日志不要长时间打开。慢日志可以帮助进行慢SQL分析，但是长时间打开会导致性能损失，建议在不需要跟踪分析SQL问题时关闭慢日志。 定时重建索引。数据库在长时间使用后可能会产生较多的索引碎片，导致数据库访问性能下降，需要定时进行索引重建，可以采用创建SQL Agent Job的方式定时重建索引，建议一个月重建一次索引。 定时更新统计信息。数据库统计信息需要经常更新对于性能有益。建议采用创建SQL Agent Job的方式每周更新一次统计信息。 关注数据库大小，及时收缩数据库。数据库长时间使用可能会有一些物理空间无法及时释放，需要执行收缩数据库操作才能释放物理空间。需要关注日志文件大小及物理文件大小，发现文件膨胀迅速可以在业务低峰期收缩数据库。 数据库名长度不要超过64个字符，且数据库名当前仅支持数字、大小写字母、中划线()和下划线()，不支持其他特殊字符。 建议修改默认端口。RDS for SQL Server默认端口为1433，公网上一些不安全的程序可能会扫描RDS for SQL Server的默认端口，建议修改默认端口。 推荐使用高可用主备实例。相比于单机实例，高可用实例可以极大提高生产业务的可用性和可靠性。 高可用实例请跨AZ部署，进行AZ级别的容灾。 建议长时间运行的实例在业务低峰期可以重启。实例长时间运行后可能会出现性能下降，推荐每三个月能够在业务低峰期重启一次实例。 设置最大并行度。最大并行度参数影响业务的CPU使用率。默认值为0允许Session使用所有CPU，可能由于某个SQL的问题导致CPU无法分配给其他Session使用。建议根据规格配置，如核数除以2。 临时库（TempDB）创建多个ndf辅助文件。 当执行操作出现权限问题时，请优先参考存储过程的使用，查找使用合适的存储过程。 如需修改SQL Server参数，请在控制台进行修改，不支持通过执行SQL命令方式修改。 备份恢复相关操作请通过管理控制台下发或调用RDS API接口、SDK接口下发，不能通过SSMS或执行SQL直接操作。 恢复数据到已有实例请谨慎操作，避免错误覆盖已有数据导致影响业务。建议使用恢复到新实例功能。 数据库恢复模式（Recovery model）不要设置为simple模式，建议使用full模式。 − 设置为simple模式将不会对该库执行增量备份，因此该库无法恢复到指定时间点。 − 对于主备实例或者集群实例，设置数据库恢复模式是simple模式后，会导致该库不会建立复制关系，进而无法操作主备切换或者规格变更。 因此，请谨慎使用simple模式。 不建议使用长事务或长时间未提交事务。长事务会长时间占用数据库的事务日志，造成事务日志膨胀并且无法阶段回收空间，最终导致磁盘满并造成大量锁等待，阻塞其他SQL执行。如果kill掉后会导致回滚时间更长，至少是事务执行的1.5倍，造成主备复制延迟增大，导致主备切换失败、主备的规格变更失败。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本章节介绍使用云原生网关实现蓝绿、金丝雀发布及AB实验的最佳实践 概述 蓝绿部署（BlueGreen Deployment）和金丝雀部署（Canary Deployment）是部署中常用的两种策略，用于在生产环境中引入新版本的应用程序或服务。这两种部署策略旨在降低风险并确保新版本的稳定性，同时允许逐步发布或回滚变更。 蓝绿部署中存在两个完全独立的生产环境（通常称为蓝环境和绿环境）被用于部署不同版本的应用程序。最初，蓝环境是当前正在运行的稳定版本，而绿环境是新版本的部署目标。一旦绿环境成功部署并通过测试，可以将流量切换到绿环境，并将蓝环境作为备份或回滚选项保留。这种方式可以确保在生产环境中保持稳定，并在需要时快速回滚到之前的版本。 金丝雀部署是一种逐步发布新版本的策略。在金丝雀部署中，新版本的应用程序或服务仅在一小部分用户或服务器上进行部署，这些用户或服务器被称为金丝雀群体。通过监控金丝雀群体的性能和稳定性，可以评估新版本的表现，并在没有负面影响的情况下逐步扩大金丝雀群体的规模，直到最终将新版本部署到整个生产环境。如果金丝雀部署中发现了问题或负面影响，可以快速回滚到之前的版本，以避免对所有用户造成影响。

本文主要介绍基于Tomcat构建Java web环境(CentOS 7.3 64bit) 应用场景 Tomcat是一个被广泛使用的Java Web应用服务器。本文介绍了在天翼云弹性云主机上部署Java Web环境的操作步骤。首先需要下载部署Java Web环境所需的安装包，并将安装包上传至云主机，然后设置弹性云主机安全组规则，再安装并配置相关软件，完成开发环境的配置。 本文使用的云主机以天翼云CentOS 7.3 64bit操作系统云主机为例。 方案架构 资源和成本规划 资源 资源说明 成本说明 虚拟私有云VPC VPC网段：192.168.0.0/16 免费 虚拟私有云子网 可用区：可用区1子网网段：192.168.0.0/24 免费 安全组 入方向规则1：协议/应用：ICMP端口：全部源地址：0.0.0.0/0入方向规则2：协议/应用：TCP端口：8080源地址：0.0.0.0/0 免费 弹性云主机 计费模式：包年/包月 可用区：可用区1 规格：s6.large.2 镜像：CentOS 7.3 64bit 系统盘：40G 弹性公网IP：现在购买 线路：全动态BGP 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用：云主机云硬盘弹性公网IP jdk Java开发工具软件。 获取方式：< 免费 tomcat 是一款开源的Web应用服务器。 获取方式：< 免费 PuTTY 跨平台远程访问工具。用于在软件安装过程中在Windows系统上访问云主机。 获取方式：< 免费 WinSCP 跨平台文件传输工具。用于在Windows系统和Linux系统间传输文件。 获取方式：< 免费

当您购买了弹性云主机后,可以根据业务需要搭建为不同的环境、网站或应用。本文介绍如何在弹性云主机上搭建Discuz!论坛。 背景介绍 Discuz!是一款通用的社区论坛软件系统，它采用PHP和MySQL组合的基础架构，为您提供高效的论坛解决方案。 前提条件 已购买弹性云主机实例，实例满足以下条件： 1. 实例已分配公网IP地址或绑定弹性公网IP（EIP）。 2. 操作系统必须为CentOS 7.x。 3. 实例安全组的入方向规则已放行22、80、443端口。 操作步骤 安装Apache Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将Perl/Python等解释器编译到服务器中。 1. 安装软件httpd httpd是Apache超文本传输协议(HTTP)服务器的主程序。执行以下命令： yum install httpd y 2. 启动主程序httpd 启动主程序httpd，用以接受请求。执行以下命令： service httpd start 3. 设置httpd 开机自启动 httpd开机自动启动可以保证虚拟机重启之后，服务可以同时启动，执行以下命令： chkconfig httpd on 4. 安装php 编译器 安装php编译器，为后续的编写工作做准备。执行以下命令： yum install php –y 5. 安装phpmysql 插件 安装php编译器与mysql链接的插件，用户进行数据库连接。执行以下命令： yum install phpmysql y Apache软件安装完成。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 云堡垒机支持在专属云上使用吗？ 支持。 专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

接口功能介绍 调用listAppInstVersionPage接口分页获取应用实例版本 接口约束 无 URI GET /v2/app/inst/listAppInstVersionPage 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 appDeployUuid 是 String 应用实例uuid pageNum 否 Integer 分页pageNum，默认值为1 pageSize 否 Integer 分页pageSize，默认值为10 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID，请参考调用前必知概述 bb9fdb42056f11eda1610242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 响应编码 2000 success message String 消息内容 returnObj Object 返回数据 returnObj error String 调用错误时返回的错误编码 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总行数 list Array of Objects 当前页记录列表 list pageNum Integer 当前页 pageSize Integer 每页行数 size Integer 从startRow到endRow的记录数 startRow Integer 当前页第一个元素在所有元素的序号 endRow Integer 当前页最后一个元素在所有元素的序号 pages Integer 总页数 prePage Integer 前一页 nextPage Integer 下一页 isFirstPage Boolean 是否为第一页 isLastPage Boolean 是否为最后一页 hasPreviousPage Boolean 是否有前一页 hasNextPage Boolean 是否有下一页 navigatePages Integer 导航页码数 navigatepageNums Array of Integers 所有导航页页号，Integer数组 navigateFirstPage Integer 导航条上的第一页 navigateLastPage Integer 导航条上的最后一页 表 list 参数 参数类型 说明 示例 下级对象 appDeployInstVersionUuid String 应用实例版本uuid version String 版本 comment String 版本名称 state String 状态 stateName String 状态名称 createStaff String 创建者 createTime String 创建时间

接口功能介绍 调用listAppInstVersionPage接口分页获取应用实例版本 接口约束 无 URI GET /v2/app/inst/listAppInstVersionPage 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 appDeployUuid 是 String 应用实例uuid pageNum 否 Integer 分页pageNum，默认值为1 pageSize 否 Integer 分页pageSize，默认值为10 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID，请参考调用前必知概述 bb9fdb42056f11eda1610242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 响应编码 2000 success message String 消息内容 returnObj Object 返回数据 returnObj error String 调用错误时返回的错误编码 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总行数 list Array of Objects 当前页记录列表 list pageNum Integer 当前页 pageSize Integer 每页行数 size Integer 从startRow到endRow的记录数 startRow Integer 当前页第一个元素在所有元素的序号 endRow Integer 当前页最后一个元素在所有元素的序号 pages Integer 总页数 prePage Integer 前一页 nextPage Integer 下一页 isFirstPage Boolean 是否为第一页 isLastPage Boolean 是否为最后一页 hasPreviousPage Boolean 是否有前一页 hasNextPage Boolean 是否有下一页 navigatePages Integer 导航页码数 navigatepageNums Array of Integers 所有导航页页号，Integer数组 navigateFirstPage Integer 导航条上的第一页 navigateLastPage Integer 导航条上的最后一页 表 list 参数 参数类型 说明 示例 下级对象 appDeployInstVersionUuid String 应用实例版本uuid version String 版本 comment String 版本名称 state String 状态 stateName String 状态名称 createStaff String 创建者 createTime String 创建时间

本文主要介绍应用场景。 使用ELB为高访问量业务进行流量分发 对于业务量访问较大的业务，可以通过ELB设置相应的分配策略，将访问量均匀的分到多个后端主机处理。例如大型门户网站，移动应用市场等。 使用ELB消除单点故障 对可靠性有较高要求的业务，可以在负载均衡器上添加多个后端云主机。负载均衡器会通过健康检查及时发现并屏蔽有故障的云主机，并将流量转发到其他正常运行的后端云主机，确保业务不中断。例如官网，计费业务，Web业务等。