本文主要介绍调用链查询能力。 展示当前租户下所有调用链路信息。您可以根据多个筛选条件租户查询您想看的调用链，可以点击「TraceID」查看具体的调用链详情。 功能入口 查看该租户下所有调用链路 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「 调用链查询 」。 查看某个应用/agent相关的调用链 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「 应用列表 」。 3. 在应用列表中选择您想查看的应用，点击「 应用名称 」打开新的应用详情链接。 4. 在左侧导航栏中选择「 调用链查询 」查看该应用实例/接口的调用链信息。 功能说明 关键信息展示与查询 TraceID ：调用链的唯一标识。 产生日志时间 ：该调用链产生日志的时间点。 接口名称 ：显示发起API调用时的接口名称，完整调用链中涉及的接口信息在trace详情中查看。 应用名称 ：显示当前应用实例所属应用的名称，该调用链涉及的其他应用信息在trace详情中查看。 状态 ：显示正常/异常。 耗时 ：一个完整的链路调用所消耗的时间。 服务端 ：调用链中第一段的被调用的应用的IP端口。 客户端 ：调用链中第一段的发起调用的应用的IP地址。 操作 ：「查看」，点击显示详情弹窗如“Trace详情”。

本章节介绍边缘重保服务支持的必要前提和服务范围。 服务支持前提 本服务主要面向各类推广活动、重要会议、赛事、晚会、网络攻防演练等关键业务场景提供重点保障支持，如有疑问请++点击此处++咨询。 该产品所包含服务仅面向已订购边缘重保产品的天翼云客户。 服务需要基于天翼云边缘云产品能力进行开展，订购前请务必确认当前天翼云账号下具备可用的边缘云产品，产品范围包含：CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云。 客户需提供服务支持工作开展所需的场地、设备、必要的环境及远程访问通道、权限、相关的日志、错误信息等，并提供必要的协助与配合。 客户作为服务诉求主体，需提供对应的技术接口人和运维团队，及时协助配合执行必要的问题说明、信息收集、故障排查等。 客户作为服务诉求主体，需进行自身业务与系统相关的运维工作。 客户应提前至少 10个工作日申请该服务，以便重保专家团队评估和定制重保服务方案。

本章节为您介绍如何快速部署证书至天翼云服务上。 证书管理服务支持将已签发的证书一键部署至天翼云服务上，减少您去手动部署证书的相关操作，提升业务的便捷性。 约束条件 当前支持将证书一键部署到如下产品： 产品 说明 支持的证书 Web应用防火墙（原生版） 单次最多可部署5个资源。 国际证书 弹性负载均衡 仅支持部分资源池，请以控制台提示为准。 单次最多可部署5个资源。每次部署会自动为您在弹性负载均衡平台中创建一个证书。 每个用户在弹性负载均衡平台的证书限制为10个，如果超出限制请访问弹性负载均衡平台手动删除多余证书。 国际证书 CDN相关产品 “CDN相关产品”服务为集成产品，一键部署证书将同时生效于其包含的 CDN、Aone边缘安全加速平台、Web应用防火墙（边缘云版）。 单次最多可部署5个资源。 国际证书、国密证书 综合安全网关 单次最多可部署5个资源。 国际证书、国密证书 若您使用的子账号进行一键部署，需要在IAM给相关子账号配置default企业项目权限。 部署“证书管理服务签发的证书”至天翼云服务 前提条件 已在证书管理服务中申请SSL证书且状态为“已签发”。

说明：本章节会介绍天翼云关系型数据库支持的实例连接方式 关系型数据库服务提供使用内网、公网的连接方式。 表11 RDS连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。 VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 若弹性云服务器和关系型数据库实例处于同一个虚拟私有云的子网内，则无需申请外网地址。 其中，通过内网和公网的连接方式如下图所示。

建议您开启风险告警，配置了风险告警后，当数据库访问触发了审计规则时，DBSS才能及时将风险通知给您。 场景一：核心资产数据库表的异常访问、告警 示例：某电商网站后台分为多个微服务，分别为订单管理服务、用户管理服务、商品搜索服务等，各服务部署在不同的服务节点上，有不同IP地址，如图所示。 服务器部署拓扑图 绿色箭头为正常访问路径，如果订单管理服务或商品搜索服务两个节点被攻陷，攻击者会从这两个节点去访问数据库的用户信息表，意图窃取用户信息，就属于数据库的异常访问。 在DBSS中可通过如下规则设置来检测数据库异常访问情况： 添加数据库异常访问 如图所示填写的规则表示从192.168.1.1或192.168.3.3上发起的所有针对userinfo表的操作都是“高风险”。 设置该规则后，所有异常访问或窃取表userinfo的行为都会被审计，并且触发风险告警。 添加“操作对象”时，单击“添加操作对象”，填写“目标数据库”和“目标表”，单击“确认”，完成添加。 场景二：利用DBSS进行应用程序的SQL语句性能优化 示例：某应用上线之后发现当用户执行某些操作时总会出现界面长时间卡顿。经定位，发现后台应用访问数据库时出现好几秒的时延，但未定位到具体是哪些语句导致。 此时可利用DBSS的“数据库慢SQL检测”规则进行辅助定位，帮助开发人员进行性能优化。 操作步骤如下： 1. 登入DBSS控制台，进入风险操作页面。进入风险操作页面 2. 单击“数据库慢SQL检测”项“操作”列的“编辑”，在编辑页面的底部设置执行时长规则设置为大于1000毫秒。设置执行时长 3. 单击“确认”，完成设置。 4. 设置完成后，待运行一段时间，在语句页面下的规则名称搜索框中填入“数据库慢SQL检测”对检测情况进行检索。 说明 您可对检索的结果进行分析，对可进行优化的SQL进行优化。 若需要进行多轮优化，您可对规则中的“执行时长”字段进行修改，逐步缩小时间，直到达成性能提升的目标。

本章节为您介绍堡垒机应用资产相关内容。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 仅企业版支持使用应用运维功能。 添加的主机和应用资源数量总和不能超过资产数。 前提条件 添加应用资产前，需已添加应用服务器，具体操作请参见应用服务器。 新增资产组 您可以通过应用资产组来管理多个应用资产，方便您在授权的时候可以一键选择。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入应用资产页面。 3. 在应用资产列表左侧资产树中，单击资产组右侧的更多图标，选择“新增子节点”或“复制”。 支持创建多级资产组，最多支持创建10级。 4. 在弹出的“新增资产组”或“资产组复制”对话框中，填写资产组信息。 参数 参数名称 资产组名称 自定义资产组的名称。 资产 在下拉框中选择需要添加至该资产组中的资产。 描述 自定义资产组的描述。 5. 填写完成后，单击“提交”完成资产组的创建。 创建完成后，您也可以根据需要对资产组进行修改或删除： 编辑资产组：选择需要修改的资产组，单击资产组右侧的更多图标，选择“编辑”，按照需求对资产组进行修改，单击“确定”完成修改操作。 删除资产组：选择需要删除的资产组，单击资产组右侧的更多图标，选择“删除”，在弹出的对话框中单击“确定”完成删除操作。

等保合规检查 帮助客户实现主机系统安全基线的建立，形成针对不同系统的详细漏洞要求和Checklist要求，为标准化的技术安全操作提供了框架和标准，主要的应用场景有新业务系统上线安全检查，合规性安全检查（上级检查）、日常安全检查等。通过对目标主机系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。 统一安全管理 主机安全服务提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。

本章节会介绍关系型数据库存储类的常见问题。 数据超过了实例的最大存储容量怎么办 问题现象 RDS数据库的磁盘空间满，导致实例变为只读状态，应用无法对RDS数据库进行写入操作，从而影响业务正常运行。 问题原因 1. 业务数据增加。 2. 数据空间占用过大。 3. 由于大量的事务和写入操作产生了大量的RDS for MySQL Binlog日志文件。 4. 应用中存在大量的排序查询，产生了过多的临时文件。 解决方案 1. 随着业务数据的增加，原来申请的数据库磁盘容量可能会不足，建议用户扩容磁盘空间，确保磁盘空间足够。 如果原有规格的磁盘已是最大，请先升级规格。 2. 针对数据空间过大，可以删除无用的历史表数据。 a. 如果实例变为只读状态，您需要先联系技术支持解除只读状态；如果实例非只读状态，则可以直接执行删除操作。 b. 可在业务低峰期对碎片率高的表执行optimize优化，以便释放空间： 清理整张表使用DROP或TRUNCATE操作；删除部分数据，使用DELETE操作，如果是执行DELETE操作，需要使用OPTIMIZE TABLE来释放空间。 3. 如果是RDS for MySQL Binlog日志文件占用过多，可以清理本地Binlog日志，来释放磁盘空间。 4. 针对大量排序查询导致的临时文件过大，建议优化SQL查询。 RDS for MySQL支持哪些存储引擎 数据库存储引擎就是一种数据存储方式。使用数据存储引擎实现 存储、处理和保护数据的核心服务 。利用数据库引擎可控制访问权限并快速处理事务，从而满足企业内大多数需要处理大量数据的应用程序要求。 InnoDB存储引擎 MySQL数据库只有InnoDB存储引擎支持完整的备份、恢复等服务功能，因此RDS for MySQL推荐使用InnoDB引擎。 其他存储引擎 在MySQL 5.6.40、MySQL 5.7.22 以上的版本中，不支持的存储引擎如下表所示： 表1 存储引擎约束限制 引擎 原因 MyISAM引擎 MyISAM引擎表不支持事务，仅支持表级别锁，导致读写操作相互冲突。 MyISAM对数据完整性的保护存在缺陷，且这些缺陷会导致数据库数据的损坏甚至丢失。 MyISAM在出现数据损害情况下，很多都需要手动修复，无法通过产品服务提供的恢复功能进行数据恢复。 MyISAM向InnoDB的迁移透明，大多数情况不需要改动建表的代码，云数据库自动转换InnoDB即可完成迁移。 FEDERATED引擎 主备实例支持FEDERATED引擎会导致在远端数据库上相同DML重复执行，导致数据错乱。 FEDERATED引擎会在时间点恢复场景，当全量恢复完成后，远端数据库上数据不会跟随全量备份恢复到全备时的数据状态，在增量恢复阶段再应用数据会导致FEDERATED表数据错乱。 Memory引擎 如果内存表隐式的变空，那在Open表的时候数据库就会自己产生一个DELETE event到binlog中。这样当HA集群使用了内存表，那么重启HA，备库（或者只读库）就会自己产生一个自己的GTID，导致主备不一致，进而引发备库重建，甚至导致备库会不停的重建。 使用Memory表，会存在OOM的风险，导致服务被终止。

本文介绍了日志与审计的相关说明。 RDSPostgreSQL提供了多种日志服务与审计服务，您可根据需要查看或开启相关服务。 操作审计 RDSPostgreSQL记录了用户针对实例的关键操作，可用于支撑安全分析、合规审计和问题定位等常见应用场景。 操作日志的详细介绍和查看方法，请参见操作日志。 日志 RDSPostgreSQL当前提供多项日志监控服务，帮助用户定位分析问题，优化查询语句。 支持查看实例中，执行过慢的SQL执行情况，并可根据SQL关键字、执行时间等进行筛选，协助用户分析优化，提升业务效率。详细介绍请参见慢日志。 支持查看错误日志，通过日志情况分析系统中存在的问题。详细请参见错误日志。

此小节介绍删除防护域名，您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 前提条件 已添加防护域名。 系统影响 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标防护域名所在行的“操作”列中，单击“删除”，进入删除防护域名对话框界面。 步骤6 在删除防护网站对话框中，确认删除防护网站。如果需要保留该域名绑定的防护策略，可以勾选“保留该域名的防护策略”。 步骤7 单击“确定”，页面右上角弹出“删除成功”，则说明删除操作成功。

本节主要介绍如何在智能视图服务控制台管理资源包。 提供用户查看订购的视频包、AI包、上行带宽包以及下行带宽包的详细信息，可以点击【查看绑定关系】查询目标资源包与设备的绑定关系。 天翼云智能视图服务包含四种资源包，分别是视频包、AI包、上行带宽包、下行带宽包，四种资源包支持单独订购、续订等。 视频包为前置资源包，必须购买，否则无法开通其他三种资源包。 AI包只针对于有AI需求的客户，用户通过新增AI应用，将AI应用绑定到特定的设备。 上行带宽包只针对于互联网用户，用户在创建业务组的时候，接入网络类型为互联网的话，必须订购上行带宽包，否则视频流无法正常接入平台。 下行带宽包只针对于互联网用户，用户在创建业务组的时候，播放网络类型为互联网的话，必须订购下行带宽包，否则实时预览、录像回放、下载等功能无法正常工作。 视频包 进入设备管理页面，配置资源包，选择视频资源包。 AI包 进入设备管理页面，配置资源包，选择AI资源包。 上行带宽包 进入设备管理页面，配置资源包，选择上行带宽包。

环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。

关系数据库MySQL版产品的性能优异主要体现为：优化性能、高质量的硬件基础、慢SQL检测、高效访问和SLA。 优化性能 天翼云多年的数据库研发、搭建和维护经验，结合关系数据库MySQL版的云化改造技术，大幅优化传统数据库，为您提供更高可用、更高可靠、更高性能、更高安全、弹性伸缩、便捷运维的天翼云数据库服务。 高质量的硬件基础 通过多年的研究、创新和开发，天翼云对MySQL版数据库进行了优化。在经过了多重考验的服务器硬件的支持下，MySQL版数据库服务变得更加稳定、高性能，为您提供更加优质的数据库服务。 慢SQL检测 关系数据库MySQL版服务提供了慢SQL检测功能，您可以根据关系数据库服务检测到的慢SQL进行相应的优化，进一步提高数据库服务的性能和效率。 高效访问 通过内网通信，关系数据库MySQL版可以与同一地域的弹性云主机配合使用，这样可以缩短应用响应时间，并同时节省公网流量费用。 SLA SLA内容，请参见关系数据库服务等级协议。

本文说明安全加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云安全加速产品将并入边缘安全加速平台，边缘安全加速平台安全与加速服务可提供提供动静态加速、DDoS防护、Web防护、Bot管理和API安全能力，相比于安全加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购安全加速产品。如需订购，请订购其升级产品边缘安全加速平台安全与加速服务。 存量客户：安全产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台安全与加速服务；如需变更，请先退订安全加速产品，再通过订购边缘安全加速平台的安全与加速服务服务来满足您的需求。 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

服务名称 物理机与其他服务的关系 镜像服务（CTIMS，Image Management Service） 通过镜像服务，您可以在物理机实例上实现应用场景的快速部署。您也可以将物理机转换为私有镜像，供个人使用，或者共享给他人。 虚拟私有云(CTVPC ，Virtual Private Cloud) 为物理机提供一个逻辑上完全隔离的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等，加强物理机的安全保护。 云硬盘（CTEVS，Elastic Volume Service） 可以将云硬盘挂载至弹性裸金属，并可以随时扩容云硬盘容量。 云监控 云监控提供了完备的监控项目，在您购买物理机后，即可在云监控的控制中心查看您的产品运行状态、各个指标的使用情况，并为监控项设置告警规则。 云审计 通过云审计服务，您可以记录与物理机相关的操作事件，便于日后的查询、审计和回溯。

如何为函数添加依赖包？ 1. 进入函数详情页面，在“代码”页签，单击“依赖代码包”所在行的“添加依赖包”。 公共依赖包：此处的依赖包为函数平台提供，您可以直接添加使用。 私有依赖包：此处的依赖包为用户自行制作上传的依赖包。 2. 完成后单击“保存”，完成依赖包的添加。 如何通过域名访问专享版APIG中注册的接口？ 以域名www.test.com为例 ，具体请参考如下步骤。 1. 登录API网关控制台，在左侧导航栏选择“专享版”，单击实例名称，进入“实例概览”页面，在“入口地址”区域查看“弹性IP地址”，获取APIG的访问地址（ip格式）。 2. 在DNS控制台，配置用户域名www.test.com解析到apig地址的ipv4规则。 3. 最后在函数服务配置该域名的解析配置，这样就能在函数中通过域名(www.test.com)访问专享版APIG中注册的接口了。 函数工作流的常见使用场景？ 1. Web类应用：比如小程序、网页/App、聊天机器人、BFF等。 2. 事件驱动类应用：文件处理、图片处理、视频直播/转码、实时数据流处理、IoT规则/事件处理等。 3. AI类应用：三方服务集成、AI推理、车牌识别。 函数工作流是否支持修改运行时语言? 不支持。函数一旦创建完成，就不能修改运行时语言。 已创建的函数是否支持修改函数名称? 不支持，函数一旦创建完成，就不能修改函数名称。 如何获取上传的文件？ 以Python语言为例，如果用户用os.getcwd()查看当前目录的话，会发现当前目录是/opt/function，但实际代码是传到/opt/function/code里的。 有2种方法可以获取到上传的文件： 1. 函数里使用cd命令切换路径到/opt/function/code 2. 使用全路径（相关目录为RUNTIMECODEROOT环境变量对应的值）

为客户提供标准化硬件集成、软件部署的实施过程和相关工具使用的实操培训及技术支持，从而使客户具备交付技能。另外，可结合客户需求，提供个性化的现场、远程交付培训服务。 第1章 服务概述 天翼云集成交付培训服务，为客户提供标准化硬件集成、软件集成方法、过程，及相应工具能力支持，使培训学员具备交付技能。另可结合客户需求，提供个性化的现场、远程交付培训服务。 第2章 应用场景 标准化培训服务：在实训基地环境中对学员开展培训服务，提供理论+实操的培训和指导，帮助学员掌握天翼云集成交付实操能力。 个性化培训服务：天翼云团队支持培训方案输出，满足客户个性化需求，或在专业培训机构组织的实操培训中，将天翼云师资嵌入。 交付质效提升支持服务：支撑客户在使用“善工”过程中遇到问题及故障，掌握使用方法和技巧，定制化开发满足等诉求。 第3章 服务优势 针对性能力提升：结合天翼云产品交付特点，定向开发课程，搭建理论和实操相结合、产品丰富、等级分明的培训体系，实现全方位能力提升。 个性化定制培训：支持结合客户需求和用云场景，提供个性化的现场、远程交付培训服务，实现从学到用的完美契合、高效赋能。

介绍实例相关操作。 通过实例页面您可以查看实例的相关信息，并且能对实例的Agent进行停止、启动和删除等操作。 查看实例列表 1. 登录管理控制台。 2. 单击左侧，选择“管理与部署 > 应用性能管理 APM”，进入APM服务页面。 3. 在左侧导航栏选择“应用监控 >指标”，进入应用指标页。 4. 在界面左侧树单击对应环境后的，进入实例监控页面。 5. 单击“实例”，查看实例列表。 在页面右上角搜索框设置搜索条件后，单击，查看满足搜索条件的实例列表。 在页面右上角，展示处于离线、正常以及停止的状态实例的数量。 表 实例列表参数说明 参数名称 说明 主机名称 主机名称。 IP 实例的IP地址。 实例名称 实例名称。 Agent状态 Agent的状态，包括：离线、正常以及停止。 默认情况下，Agent状态按照正常，停止，离线的顺序排列。 单击“Agent状态”列的，支持按照Agent状态过滤。 Agent版本 Agent版本号。 最后心跳时间 采集实例数据的最后时间。 单击“最后心跳时间”列的，可以按照最后心跳时间的升序或降序排列。 Agent启停 Agent启动、停止操作。 操作 实例的操作。 单击“操作”列的删除，可以删除实例。

本文主要介绍什么是应用一致性备份。 注意 该特性仅在广州4、苏州、华北、西安2上线。 业界对备份一致性的定义包括如下三类： 不一致备份：备份的文件、磁盘不在同一个时间点。云服务备份中的云主机备份提供对弹性云服务器的基于多云硬盘一致性快照技术的数据保护。如果使用云硬盘备份进行多个磁盘单独备份，多个磁盘由于备份时间点不一致，会出现不一致备份。 崩溃一致性备份：崩溃一致性备份会捕获备份时磁盘上已存在的数据，文件或磁盘数据在同一时间点，但不会备份内存数据并且静默应用系统，不保证应用系统备份一致性。尽管并未保证应用一致性，但通常情况下，操作系统重启后会进行chkdsk等磁盘检查过程来修复各种损坏错误，数据库会进行日志回滚操作保证一致性。 应用一致性备份：文件或磁盘数据在同一时间点，并备份内存数据，保证应用系统一致性。 适用范围 支持安装Agent进行数据库服务器备份的操作系统如下表所示。 数据库名称 操作系统类型 版本范围 ::: SQLServer 2008/2012 Windows Windows Server 2008, 2008 R2, 2012, 2012 R2 for x8664 SQLServer 2014/2016/EE Windows Windows Server 2014, 2014 R2, 2016 Datacenter for x8664 MySQL 5.5/5.6/5.7 Red Hat Red Hat Enterprise Linux 6, 7 for x8664 MySQL 5.5/5.6/5.7 SUSE MySQL 5.5/5.6/5.7 CentOS CentOS 6, 7 for x8664 MySQL 5.5/5.6/5.7 Euler Euler OS 2.2, 2.3 for x8664 HANA 1.0/2.0 SUSE SUSE Linux Enterprise Server 12 for x8664

应用一致性 业界对备份一致性的定义包括如下三类： 不一致备份：备份的文件、磁盘不在同一个时间点。 崩溃一致性备份：崩溃一致性备份会捕获备份时磁盘上已存在的数据，文件/磁盘数据在同一时间点，但不会备份内存数据并且静默应用系统，不保证应用系统备份一致性。尽管并未保证应用一致性，但通常情况下，操作系统重启后会进行chkdsk等磁盘检查过程来修复各种损坏错误，数据库会进行日志回滚操作保证一致性。 应用一致性备份：文件/磁盘数据在同一时间点，并备份内存数据，保证应用系统一致性。 数据库备份 云主机备份同时支持崩溃一致性备份和应用一致性备份（即数据库备份）。启用数据库备份前，需要先安装客户端，否则会导致数据库服务器备份失败。 周期性全备 默认情况下，云服务备份对一个新的资源第一次进行全量备份，后续进行永久增量备份。 云服务备份现支持在资源非第一次备份的情况下进行定期进行全量备份。您可以通过策略设置，配置每进行N次增量备份后，进行一次全量备份。相较于之前的策略配置，将更进一步提升备份数据的安全性，满足用户定期进行全量备份的需求。 周期性全备相较于永久增量备份占用的存储容量也会相应增加。

本文介绍了WAF的Web攻击防护最佳实践，主要从应用场景、防护策略、防护效果三个方面进行介绍。 应用场景 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“安全 > Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，查看Web应用攻击防护的防护状态。 Web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。 状态 ：表示WAF的Web基础防护的防护模块已开启。 ：表示该防护模块处理关闭状态。 模式：分为拦截和仅记录两种模式。 “拦截”模式表示当遭受Web攻击时，WAF立即拦截攻击请求，并在后台记录攻击日志。 “仅记录”模式表示当遭受Web攻击时，WAF不会拦截攻击请求，仅在后台记录攻击日志。 步骤 7 单击“高级设置”，进入“Web基础防护”界面。 “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。 灵活设置防护检测类型。 WAF默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

本节介绍如何修复漏洞。 操作场景 不同类型漏洞修复方式不同，请根据漏洞类型选择对应修复方法。漏洞修复方法建议如下： 漏洞类型 修复方式建议 Linux软件漏洞 可以使用以下方式进行处理： 使用态势感知（专业版）控制台上的“修复”功能进行修复。 根据界面提供的修复建议进行手动修复。 修复完成后，可通过“验证”功能，快速验证漏洞是否修复成功。 Windows系统漏洞 可以使用以下方式进行处理： 使用态势感知（专业版）控制台上的“修复”功能进行修复。 根据界面提供的修复建议进行手动修复。 修复完成后，可通过“验证”功能，快速验证漏洞是否修复成功。 WebCMS漏洞 根据界面提供的修复建议进行手动修复。 应用漏洞 根据界面提供的修复建议进行手动修复。 注意 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云服务器备份（CSBS）为ECS创建备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。但是，如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用镜像源进行漏洞修复。 为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置的对应操作系统的镜像源。

本文介绍使用云备份时的限制。 使用规则 在使用云备份时，需要注意以下几点： 备份时，如果相关数据正在被其它应用更改，而云备份服务需要对数据有读权限，会导致备份数据不完整，需要保证云备份服务对待备份数据的读取权限。 不建议对正在运行的应用程序的文件进行恢复，建议停止应用程序运行后再执行恢复操作。 产品使用限制 限制项 限制说明 :: 工具限制 云备份通过客户端提供备份服务。备份操作前，需要在目标主机中安装客户端。 操作系统限制 支持CentOS、Ubuntu、Windows Server 、KylinOS等常用的64位操作系统。具体的操作系统版本，请参考“安装客户端”章节。 主机状态限制 主机必须处于运行状态。 任务数量限制 单个客户端同一时刻最多同时执行2个任务（含备份任务和恢复任务），超出该数量的任务将按时间先后排队执行。 目录及文件备份限制 云备份能够备份的数据规模与备份机器的规格相关，在4GB可用内存下可备份的最大文件数量为300万个，总数据量为10TB，在16GB可用内存下可备份的最大文件数量为2000万个，总数据量为100TB。 目录及文件不能为空，最多可以输入10个文件路径或目录，不能包含/dev、/proc、/sys或其子目录，且必须为绝对路径。 高级规则中的文件列表路径必须在备份文件路径之下。 存储库和要备份的主机需在同一地域。 所有备份文件中绝对路径最长4095字符。目录的深度不超过1000。 硬链接会当成普通目录/文件进行处理。 当前版本不支持软链接。 不建议对系统路径进行备份，若对系统路径进行了备份，建议恢复时选择恢复到非系统路径下，否则可能导致系统异常，系统路径包括但不限于以下路径： Windows系统：Windows、python27、Program Files (x86)、Program Files、ProgramData、Boot、$RECYCLE.BIN、System Volume Information、Users、Administrator、NTUSER.DATpagefile.sysUsers、Administrator、ntuser.dat.LOG1 Linux系统：/bin、/usr/bin、/sbin、/boot、/proc、/sys、/srv、/lib、/selinux、/usr/sbin、/run、/lib32、/lib64、/lost+found

统一 镜像服务提供统一的镜像自助管理平台，简化维护的复杂度。 通过镜像，实现应用系统的统一部署与升级，提高运维效率，保证应用环境的一致性。 公共镜像遵守业界统一规范，除了预装了初始化组件外，内核能力均由第三方厂商提供，便于镜像在不同云平台之间迁移。 镜像部署与手工部署对比 对比项 镜像部署 手工部署 ::: 部署时长 2~5分钟 1~2天 复杂度 使用公共镜像，或者根据已使用过的方案均可快速创建符合要求的云主机。 评估业务场景，选择合适的操作系统、数据库、应用软件等，并且需要安装和调试。 安全性 除共享镜像需要用户自行甄别来源以外，公共镜像、私有镜像均经过严格测试，能够保证镜像安全、稳定。 依赖开发或运维人员的水平。

本节介绍NAT网关应用场景和使用限制。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。VPC内的实例出方向访问通过SNAT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 产品优势 避免业务公网暴露 VPC下的资源实例如果需要访问公网，通过NAT网关，实例无需单独绑定公网IP即可访问公网，从而避免将业务直接暴露在公网，从而实现安全防护作用。 降低成本 通过NAT网关，VPC下的资源实例可以共享弹性公网IP和带宽实例，无需单独为每个资源实例分配弹性公网IP和带宽实例，可以有效降低成本。 灵活部署，即开即用 NAT网关支持按需部署。SNAT或DNAT规则配置后，可实时生效。 应用场景 使用SNAT访问公网 当VPC内的资源实例需要访问公网，为节省弹性公网IP资源并且避免将资源实例绑定的公网IP直接暴露在公网上，您可以使用NAT网关的SNAT功能实现公网访问。VPC中一个子网对应一条SNAT规则，一条SNAT规则配置一个弹性公网IP。您可以通过创建SNAT规则，以实现共享弹性公网IP资源。 面向公网提供服务 当VPC内的资源实例需要面向公网提供服务时，可以使用NAT网关的DNAT功能。DNAT功能绑定弹性公网IP，可通过端口映射方式，NAT网关将以指定的协议和端口访问该弹性公网IP的请求转发到目标实例的指定端口上。也可通过IP映射方式，为资源实例配置一个弹性公网IP，任何访问该弹性公网IP的请求都将转发到目标虚拟机实例上。如果有多个实例需要提供外网访问服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。

智算一体机与一站式智算服务平台的关系如下所示： 对比项 智算一体机 一站式智算服务平台 产品形态 属于软硬一体的产品。它不仅集成了硬件资源，还内置了一站式智算服务平台的轻量化版本。就如同将一座功能齐全的小型工厂，包括生产设备（硬件）与生产流程控制系统（软件），整合为一个有机整体。这种一体化设计，让用户无需再为硬件选型、软件适配等复杂问题烦恼，开箱即用，大大节省了前期部署的时间与精力。 纯软件产品。它就像一个精心搭建的线上超级市场，里面摆满了各类工具和服务。但这个市场需要用户自行提供 “摊位”（硬件设备）来运营。平台专注于为大模型训练、推理、应用提供全栈工具链，是一个功能强大且灵活的智算服务中枢。 功能特性 因其硬件与软件的一体化集成，在功能上更侧重于满足对便捷性和快速部署有较高要求的用户。例如，一些小型企业或科研团队，他们可能没有专业的 IT 运维人员，也没有大规模的数据中心建设预算，智算一体机可以直接为他们提供一个相对独立、完整的智算环境，迅速开展相关业务。 凭借其纯软件的特性，功能上更偏向于为大型企业、科研机构等具备一定硬件基础的用户提供深度定制化服务。这些用户往往拥有复杂多样的大模型训练、推理以及应用场景，需要高度灵活、可扩展的智算服务平台，对平台的功能丰富度和深度有较高要求。 依赖关系 内置的轻量化版本智算服务平台，是一站式智算服务平台功能的子集。这意味着智算一体机的用户能够享受到智算服务平台的部分核心功能，同时也能借助智算服务平台的持续升级，获得功能上的扩展与优化。 为智算一体机提供了软件层面的技术支持和功能迭代基础。通过不断优化平台的算法、工具链等，智算一体机用户也能间接受益，提升自身智算能力。而智算一体机作为智算服务平台的硬件承载实体，为平台功能的落地提供了硬件支撑，二者相互依存，共同为用户提供高效的智算解决方案。

本节介绍了弹性云主机与其他服务的关系。 弹性云主机与周边服务的依赖关系如下图所示。 图 弹性云主机与其他服务的关系示意图 弹性云主机与其他服务的关系 弹性伸缩：利用弹性伸缩，可以根据您定义的伸缩策略进行弹性云主机的伸缩，以节省您的资源使用成本和提高资源利用率。 负载均衡：将访问流量自动分发到多台弹性云主机上，提高应用系统对外的服务能力，提高应用程序容错能力。 云硬盘：可以将云硬盘挂载到弹性云主机，并可以随时扩容云硬盘容量。 虚拟私有云：为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 镜像：您可以通过镜像创建弹性云主机，提高弹性云主机的部署效率。 云监控：当用户开通了弹性云主机后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。弹性云主机支持的监控指标请参考弹性云主机支持的基础监控指标。 数据加密服务：加密功能依赖于数据加密服务。您可以在创建弹性云主机时，使用加密镜像或加密云硬盘，此时需要使用数据加密服务提供的密钥，从而提升数据的安全性。 云审计服务：记录与弹性云主机相关的操作事件，便于日后的查询、审计和回溯。 云备份：提供对弹性云主机的备份保护服务。支持对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，并利用备份数据恢复弹性云主机数据。

本文介绍云容器引擎的产品定义。 云容器引擎(CTCCE，Cloud Container Engine)提供高性能可扩展的容器服务，基于云主机快速构建高可靠的容器集群，兼容 Kubernetes 及 Docker 容器生态，帮助用户轻松创建和管理多样化的容器应用，并提供容器故障自愈，状态监控，容器日志采集，自动弹性扩容等高效运维能力。

应用场景 单实例多并发功能适用于函数中存在大量等待下游服务响应的场景。由于等待响应通常不消耗资源，通过在一个实例内并发处理，不仅能够节省成本，还能提高应用的响应能力和吞吐量。 优势 节省费用并减少执行时长。 例如，对于偏重 I/O 的函数，可以在一个实例内并发处理，从而减少所需实例数量并降低总执行时长。 实现请求之间的状态共享。 多个请求可以共用一个实例内的数据库连接池，从而减少与数据库的连接次数。 降低冷启动的概率。 由于多个请求能够在一个实例内处理，新实例的创建次数减少，从而降低了冷启动的发生概率。 使用限制 限制项 描述 单实例并发度取值范围 1~200 操作步骤 您可以在创建或更新函数时，指定函数的单实例并发度。

本章节介绍无损下线功能的使用 概述 在微服务场景中，当服务提供者下线时，若消费者无法及时感知到提供者的下线状态，则可能会出现异常请求。通过配置无损下线来保证应用在下线、重启时流量零损耗。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Dalston及以上版本 支持负载均衡组件为ribbon的应用 不支持负载均衡组件为Spring Cloud LoadBalancer的应用。 Dubbo 2.5.3+ Jdk版本 1.8+

websocket应用场景 场景一：弹幕 弹幕的流程是终端用户A在自己的客户端广播了一条信息，这条信息需要在与其他N个用户端发送的弹幕信息一并展示在A这边。它需要马上显示到屏幕上，对实时性要求极高。使用websocket可以在有新弹幕产生时，服务器能够迅速推送给所有用户端，保障弹幕实时性。 场景二：在线教育 在线教育跨越了时空的限制，学生与老师进行一对多/一对一的在线授课，老师在客户端内编写的笔记、大纲、白板信息等信息，需要实时推送至多个学生的客户端，同时在课堂上，通话、文字聊天、实时解题等交互的实时性要求非常高，需要通过websocket协议来完成。 场景三：金融产品实时信息查询 股票价格瞬息万变，如果显示数据不及时，很有可能会影响用户的收益。需要通过websocket协议流式更新数据变化，将价格实时推送至世界各地的客户端，方便交易员迅速做出交易判断。 场景四：体育实况更新 由于全世界体育爱好者数量众多，比赛实况成为他们最为关心的热点。websocket能够助力体育新闻类服务的用户降低延时，获得实时的更新。 场景五：视频会议和互动直播 尽管视频会议并不能代替和真人相见，但是应用场景众多。而互动直播和视频会议中的连麦的服务对低延时的要求非常高。试想主播或者你的主管说了一句话后，你要10秒后才能听到，那你们是根本无法进行正常交流的 。websocket可以帮助两端或多端接入会议/直播的用户实时传递信息。

websocket应用场景 场景一：弹幕 弹幕的流程是终端用户A在自己的客户端广播了一条信息，这条信息需要在与其他N个用户端发送的弹幕信息一并展示在A这边。它需要马上显示到屏幕上，对实时性要求极高。使用websocket可以在有新弹幕产生时，服务器能够迅速推送给所有用户端，保障弹幕实时性。 场景二：在线教育 在线教育跨越了时空的限制，学生与老师进行一对多/一对一的在线授课，老师在客户端内编写的笔记、大纲、白板信息等信息，需要实时推送至多个学生的客户端，同时在课堂上，通话、文字聊天、实时解题等交互的实时性要求非常高，需要通过websocket协议来完成。 场景三：金融产品实时信息查询 股票价格瞬息万变，如果显示数据不及时，很有可能会影响用户的收益。需要通过websocket协议流式更新数据变化，将价格实时推送至世界各地的客户端，方便交易员迅速做出交易判断。 场景四：体育实况更新 由于全世界体育爱好者数量众多，比赛实况成为他们最为关心的热点。websocket能够助力体育新闻类服务的用户降低延时，获得实时的更新。 场景五：视频会议和互动直播 尽管视频会议并不能代替和真人相见，但是应用场景众多。而互动直播和视频会议中的连麦的服务对低延时的要求非常高。试想主播或者你的主管说了一句话后，你要10秒后才能听到，那你们是根本无法进行正常交流的 。websocket可以帮助两端或多端接入会议/直播的用户实时传递信息。