本文汇总了创建弹性伸缩策略过程中会遇到的操作类问题。 用户是否可以设置周期性定时策略？ 可以。 弹性伸缩服务支持设置6种策略： 告警策略：通过对伸缩组内实例性能指标（CPU使用率、内存使用率等）的监控，来确认其是否达到预设的告警条件，来自动增加或减少云主机的数量。 定时策略：根据业务实际情况设置一个时间点，在此时间点自动增加或减少云主机的数量。 周期策略：根据业务实际情况设置一个时间段，在此时间段内按照周期（按天、按周、按月）来重复执行自动增减云主机的数量。 目标追踪策略：根据业务选择一个监控指标并设置监控指标的目标值，弹性伸缩会根据目标值自动进行扩缩容活动，使伸缩组监控指标始终维持在目标值上下。 智能预测策略：通过分析伸缩组历史监控数据，利用算法预测未来48小时的监控指标值变化趋势，并根据预测值自动增加或减少云主机的数量，减少人工运维成本。 简单策略：可手动执行的伸缩策略，便于快速执行增加或减少云主机数量。 具体配置操作请参见创建伸缩策略。 告警策略与定时/周期策略之间有执行的优先级吗？ 没有。 告警策略与定时/周期策略之间是相互独立的策略，互不干扰。 告警策略若失败一次，并不影响其策略有效性，若继续触发告警规则，则会继续执行伸缩活动。 定时/周期策略若失败一次，您需重新检查策略有效性，重新设置触发时间与生效时间，避免策略失效无法被触发。

云企业路由器提供多种强大的网络互通和路由管理功能,包括连接网络实例、定制路由表、添加路由条目以及制定路由策略等。本文将为您详细介绍云企业路由器的工作原理。 云企业路由器（CER） 是一个区域（资源池）中用户网络转发中枢，支持VPC、云专线、VPN及SDWAN等多元接入。提供一键式大带宽、高可靠性混合组网服务，实现云上云下资源无缝对接。统一控制平台实现集中路由管理与流量调度，支持企业灵活扩展，满足不断变化的业务需求。 云企业路由器能力 连接网络实例 网络实例连接到云企业路由器后可实现网络互通。云企业路由器支持连接以下网络实例： 一个或多个VPC（Virtual Private Cloud）实例 当您创建VPC连接时，VPC实例必须位于云企业路由器支持的可用区中，并且必须拥有至少一个子网实例。该子网需要至少有一个空闲的IP地址。在创建VPC连接的过程中，云企业路由器会在VPC实例的子网中创建一个弹性网卡，作为VPC实例与云企业路由器流量互通的接口。 一个或多个云专线实例 在进行跨地域的云专线实例连接时，您需要购买相应的带宽包，以便为跨地域连接分配所需的带宽资源。确保在网络传输过程中不会出现延迟或数据丢失的情况，从而保证网络连接的稳定性和可靠性。 一个或多个VPN实例 一个SDWAN实例 一个云桌面网络实例

操作场景 查看快照容量包含：查看某个云硬盘下的所有快照总容量（快照链容量）、查看指定时间段内的快照总容量、查看当前账号在指定区域下的快照总容量。 注意 建议您定期删除不再使用的快照，避免快照容量持续计费 约束与限制 云硬盘的单个快照容量小于或等于该云硬盘的容量。 由于一块云硬盘会存在多个快照，所以单个云硬盘的快照链容量可能会超出该云硬盘容量。 根据快照链查看单个云硬盘下的所有快照总量 云硬盘的快照总容量以快照链（一块云硬盘中所有快照组成的关系链）为单位进行统计，统计当前云硬盘所有快照的数据块占用的存储空间，统计原理请参见快照链容量计算原理。 1. 登录管理控制台。 2. 单击页面左上角“”，选择“存储 > 云硬盘”。进入云硬盘页面。 3. 单击待查看快照总量的云硬盘ID后的“”，复制目标云硬盘ID。 4. 在左侧导航栏，选择“云硬盘 > 快照”。进入“快照”页面。 5. 单击页面上方的“快照链”，切换至快照链页签。 6. 在页面上方的搜索框选择“磁盘ID”，粘贴磁盘ID，单击进行搜索。 7. 下方展示的快照链的快照容量，即为该云硬盘下的所有快照总容量。 8. （可选）您还可以通过单击目标快照链的快照数量，来查看该快照链下的所有快照。

本节为您介绍物理机服务常见的计费类问题。 物理机退订时怎么扣费？ 物理机在退订时根据扣费场景不同扣费金额不同，退订场景主要包含七天无理由全额退订和非七天无理由退订以及其他退订，退款金额会退回账户余额。 关于退订的更多规则请参见退订规则说明。 物理机资源到期冻结后，如何解冻？ 当物理机资源被冻结后，用户可通过续费来解冻资源，恢复物理机正常使用。 当物理机资源到期而未续订时，物理机资源将自动进入保留期且资源被冻结。您不能访问和使用该资源，例如无法下载物理机中的数据。系统也会发送短信及邮件提醒您。建议您尽快进行手动续订，如果保留期内不续订，物理机资源将被释放，同一订单内订购的资源也会被释放（弹性IP、云硬盘等）。 已经到期的包月物理机允许续订、不能发起退订，未到期的包月物理机可以退订。 资源到期冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源续订解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 物理机退订后多久释放？ 物理机退订后的资源将被以冻结形式保留15天，15天过后进行释放。 在此期间，业务将被中断，用户无法进行其他任何操作，请确认之后再执行退订物理机。 如果不想等待15天的冻结期，可在控制台发起立即销毁。

基础配置 1. 根据您的需要选择计费方式：包年/包月或按量付费。 规格分类处选择“GPU加速/AI加速型”，在下方的规格列表的pi2和pi7中选择需要的规格。 2. 选择镜像“ubuntuLLaMA2StableDiffusionWebUIGPU（预装大模型环境）(60GB)”或“ubuntuLLaMA3StableDiffusionWebUIGPU（预装大模型环境）(60GB)，点击“下一步：网络配置”。 网络配置 1. 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 2. 点击“创建安全组”按钮，在弹窗中等待模板下拉菜单选择“开放全部端口” 3. 点击“确定”，完成安全组创建。 4. 返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 5. 点击“确定”，完成安全组选择。 6. 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保大模型学习机顺畅运行，如有其他数据下载需求, 建议10M以上, 否则建议5M及以下。 7. 点击“下一步：高级配置”。 8. 根据提示完成高级配置，点击“下一步：确认配置”。确认配置无误后，点击“立即购买”。 9. 支付成功后返回云主机控制台，选择订购云主机所在的地域。云主机状态变更为“运行中”后即为开通成功，可以进行后续操作。

购买弹性云主机 1. 登录天翼云“控制中心(控制台)”，在页面上方选择用户对应购买弹性云主机的地域，例如“福州3”。选择“计算”大类下的“弹性云主机”产品。或是在天翼云官网首页点击“立即订购”。 2. 单击“创建弹性云主机”。 配置弹性云主机实例规格 1. 选择计费模式“包年/包月”或是“按量付费”。 2. 完成页面必填项的选择，例如地域、主机名称、规格、镜像类型、存储等。 说明 创建弹性云主机过程，请您根据规格特性，选择符合业务需求的弹性云主机规格。请参考： 使用弹性云主机需要您支付相应费用，详细请见： 创建弹性云主机需要配置系统盘与数据盘，如果您对存储性能有要求，请参考： 您需要为存储支付相应的费用，详细请见： 网络配置 1. 选择弹性云主机对应的网络配置选项含网卡、扩展网卡、安全组、弹性IP等，根据页面提示完成操作。 2. 点击“下一步：高级配置”按钮。 说明 安全组是控制弹性云主机访问策略的组件，相关概念与操作，请参考： 如果您有访问公网的需求，请您使用弹性IP，相关概念与应用场景，请参考： 您需要为弹性IP支付相应的费用，详细请见：

开启匿名用户访问。默认已开启。 writeenableYES 开放服务器的写权限（若要上传，必须开启）。默认已开启。 anonumask022 设置匿名用户所上传数据的权限掩码（反掩码）。默认已开启。 anonuploadenableYES 允许匿名用户上传文件。默认已注释，需取消注释。 anonmkdirwriteenableYES 允许匿名用户创建（上传）目录。默认已注释，需取消注释。 anonotherwriteenable YES 允许删除、重命名、覆盖等操作。需添加。 6. 按Esc键退出编辑模式，并输入:wq保存后退出。 7. 执行以下命令重启vsftpd服务使配置生效。 plaintext systemctl restart vsftpd.service 8. 关闭防火墙和增强型安全功能。 plaintext systemctl stop firewalld setenforce 0 3. 设置安全组 搭建好FTP站点后，需要配置弹性云主机的安全组规则，入方向添加一条放行FTP端口的规则，设置安全组规则如下表。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口 0.0.0.0/0 4. 客户端测试 1. 在Windows系统打开开始菜单，输入 cmd 命令打开命令提示符。 2. 建立ftp连接：ftp XX.XX.XX.XX （虚拟机公网ip地址）。 3. 输入配置好的用户名和密码，反馈如下表示访问成功。 4. ftp> pwd

本章节介绍运维中心相关功能 概述 微服务治理中心运维中心提供操作日志及事件中心功能。 操作日志 操作日志提供对治理过程中关键治理操作的记录，通过操作日志功能，用户可以进行行为追踪和问题排查，及时发现治理过程中的不当操作，定位治理操作对应用的影响。 功能入口 登录微服务治理控制台。 在控制台左侧导航栏中选择运维中心>操作日志。 在操作类型下拉框可以选择对应的操作类型，筛选操作。 在对应日志项的操作列单击详情，获取对应操作的额外信息。 事件中心 事件中心提供对微服务治理事件数据的统一展示能力，通过事件中心，用户可以从事件类型和事件来源维度查询事件记录，感知微服务治理中心下应用的状态，从而验证微服务治理配置的正确性，排查系统的异常问题。 功能入口 登录微服务治理控制台。 在控制台左侧导航栏中选择运维中心>事件中心。 在事件类型下拉框可以选择对应的事件类型，筛选对应类型的事件记录。 在应用名称下拉框可以选择对应的应用资源，筛选对应应用下的事件记录。 在对应事件记录项的操作列单击查看详情，获取对应事件记录的详细信息。

本文介绍VPN网关的欠费和退款规则。 欠费说明 当您账号的可用额度（含天翼云账户余额、代金券、优惠券等）无法结清待结算的账单时，您的账号会立即进入欠费状态，同时系统会以短信和邮件的方式提醒您尽快支付账单。 VPN网关实例为包年包月的资源，您已经预先支付了VPN网关实例的费用。在SSL服务端、IPsec连接绑定VPN网关实例的场景下，如果您的账号发生欠费，在VPN网关实例未到期前您可以正常使用VPN网关实例，但不能执行新购VPN网关实例、升级VPN网关实例配置、续费VPN网关实例等涉及费用的操作。VPN网关实例到期后，您将无法正常使用VPN网关实例。在一定期限内，如果您没有及时充值续费，VPN网关实例将被自动释放。 VPN网关实例到期后立即停机。停机7天内，VPN网关实例暂停服务，不会进行流量转发，但系统会保留相关配置。此期间，您可以进行充值续费，充值续费成功后，VPN网关实例将恢复正常业务状态。 如果VPN网关实例停机期间未完成续费或续费不成功，停机7天后，该VPN网关实例将被释放，实例被释放后相关配置和数据也将被删除，且不可恢复。 退款说明 如果在VPN网关实例未到期前，您不需要再使用VPN网关实例，您可以申请退订，申请退订后系统会自动释放VPN网关实例。如果VPN网关下存在使用中的IPsec连接或SSL连接，则暂不支持退订，请删除相关连接配置后再申请退订。

本文主要介绍云日志服务中查询分析Nginx访问日志。 云日志服务LTS支持采集Nginx日志，并进行多维度查询。本文介绍分析网站访问情况、异常和重要场景告警的分析案例。 背景信息 Nginx是一款主流的网站服务器，当您选用Nginx搭建网站时，Nginx日志是运维网站的重要信息。 云日志服务支持通过数据接入向导一站式采集Nginx日志，您还可以使用云日志服务的查询分析语句，分析网站的延时情况，及时调优网站。针对性能问题、服务器错误、流量变化等重要场景，您还可以设置告警，当满足告警条件时给您发送告警信息。 前提条件 根据配置向导，创建对应的日志单元、安装采集器、配置采集规则，生成日志字段。 可以使用正则表达式来分割这个Nginx访问日志行。用户可以输入日志样例预览匹配结果，并为匹配结果进行字段命名 操作步骤 完成上述步骤后，采集器将开始在指定的主机组中进行日志采集，并将采集的日志信息展示在控制台上。用户点击日志检索之后再点击检索分析，便可以在控制台看到检索到的日志信息。在展示页面上，用户可以根据自己的需求选择不同的展示方式。如对日志进行展开，JSON格式化等操作 样例1：查询IP 192.168.1.100 发过来的请求日志。 样例2：查询IP 192.168.1.100 发过来的GET请求日志。

本节介绍Gang scheduling调度。 通过使用 Gang scheduling 能力，可有效解决原生调度器无法支持 AllorNothing 作业调度的问题。 前提条件 已安装智算套件。 背景信息 Gang scheduling 是一种保证一组相关任务同步执行的调度策略，多个任务的作业调度时，要么全部成功，要么全部失败，这种调度场景，称作为Gang scheduling。其中一个经典使用场景是分布式机器学习训练：在大规模机器学习模型的训练中，数据可能被分布到多个节点上，每个节点都需要运行一个模型的副本。这些模型副本需要同时开始训练，以保证参数更新的同步。随着大规模和复杂的工作负载在Kubernetes上的普及，需要对应的调度策略适配这种场景，避免资源浪费和延迟。由于Kubernetes的核心调度器默认不支持 Gang scheduling，使得一些工作负载无法很好地迁移至 Kubernetes。为了适配这种场景，目前的云容器引擎基于调度器框架实现 Gang scheduling 功能，可以在云容器引擎中非常方便使用该能力。 功能介绍 为了实现AllorNothing的特性，首先需要将一组同时调度的Pod通过annotations标识出来，这个标识可称为PodGroup。提交作业的时候调度器可根据工作负载的相关annotations，获取调度的配置并进行调度。只有当集群资源满足该任务最少运行个数时，才会统一调度，否则作业将一直处于Pending状态。 使用方法 下面使用kubeflow的TFJob作为例子展示Gang scheduling的能力。 plaintext apiVersion: "kubeflow.org/v1" kind: TFJob metadata: name: gangexample spec: tfReplicaSpecs: Worker: replicas: 2 restartPolicy: OnFailure template: spec: schedulerName: roc

工作流流程（workflow）定义了业务逻辑描述以及流程执行所需要的通用信息， 例如一个审批权限申请流程可能包含创建审批、处理审批， 通过审批、拒绝审批等。在创建流程（workflow）后， 可以多次触发工作流执行（Execution），每次执行可以设置不同的输入， 例如每次审批的申请人以及审批通过权限的有效时长是不一样的。 同时， 云工作流提供了丰富的控制类状态去描述流程的业务逻辑， 可以串行、并行或者条件执行某些任务，以及针对一类数组数据并行执行一系列任务等。 如何使用工作流 工作流创建 使用工作流，首先需要创建工作流，云工作流支持创建标准和快速两种模式的工作流。创建工作流的核心是完成工作流定义， 工作流定义详细看流程定义介绍。工作流创建可以使用云工作流控制台、OpenAPI等方式进行创建和管理， 详细可看创建工作流。 工作流调用 工作流完成创建后， 可以通过云工作流控制台、OpenAPI等方式触发工作流的执行。 同时也可通过在控制台创建触发器的方式按照事件驱动的方式触发工作流执行。工作流启动后， 工作流会按照流程定义的顺序和规则执行任务， 并按照JSON格式输出工作流执行结果， 同时在控制台工作流执行详情，可以查看工作流执行后各个任务执行的输入输出。详细可看工作流执行。

对等连接产品主要应用于云上同资源池多VPC私网互连场景,本文带您更快了解对等连接经典应用场景。 灵活组建跨VPC网络、扩展资源 场景说明 同一资源池内的不同业务部门资源需要互通时，可通过对等连接连通两个账号下的VPC，实现同一资源池内的云资源的内网访问。对等连接的建立过程需要双方互相确认，保障安全性。同时，伴随着业务的不断发展，当资源和网络架构已无法满足业务需求时，新业务下创建出的新VPC和云主机等资源，可以通过对等连接打通两个VPC，轻松实现业务部署。 场景特点 用户在使用不同账号进行资源订购及管理，默认情况下不同账号之间的资源无法通过内网访问。业务规模不断扩张，新建的VPC和计算资源需要和原有VPC实现互通访问。 产品优势 通过对等连接进行两个账号下的VPC的打通，从而实现云资源的内网访问。 打破不同VPC间相互隔离的业务现状，实现新老业务VPC的互通互联。 场景示意图如下： 构建安全可靠的混合云环境 场景说明 针对安全性要求较高的数据、交易等敏感核心业务，通过天翼云的专属云进行部署，而有互联网访问要求的业务，可以采用公有云进行部署。通过在专属云和公有云的VPC之间建立对等连接，从而实现两个VPC之间的内网互通。在保障安全性的情况下，最大限度降低企业成本投入。

本文主要介绍URL跟踪 调用链拓扑能够查看单次调用拓扑关系，应用拓扑可以查看服务之间的总体的拓扑关系。在某些场景下，用户需要关注某个重要业务调用的拓扑关系，这里称之为URL跟踪，比如电子商务系统的创建订单的接口调用。在APM系统，由于URL跟踪消耗资源较大，并不会默认将入口的url调用标示为URL跟踪，需要用户自己将某个环境的某个监控项的调用标示为URL跟踪。APM对于总体URL跟踪标示个数有限制，对于标示为URL跟踪的接口，APM会重点跟踪由此引起的下游的一系列调用关系。通过URL跟踪可以让用户跟踪某一些重要接口调用与下游的服务调用关系，从更细粒度角度发现问题。 配置URL跟踪 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击需要添加URL跟踪的环境，进入该环境的监控详情页，默认显示“接口调用”页面。 步骤 5 在接口维度汇总列表中将鼠标指针放在需要设置为URL跟踪的url上，单击，设置当前url为URL跟踪。 图配置URL跟踪 步骤 6 当监测实例超过5个时，单击“更多监测实例”，显示监测实例列表。可以同时选择1至5个监控实例。如果同时勾选超过5个实例，默认去掉第一个数据。

本文为您介绍轻量型云主机如何重装操作系统。 操作场景 轻量型云主机操作系统无法正常启动、操作系统中毒或轻量型云主机系统运行正常，但需要对系统进行优化，使其在最优状态下工作时，用户可以使用轻量型云主机的重装系统功能。 前提条件 轻量型云主机状态为关机状态。 约束限制 一键重装操作将会导致系统盘会清空，重装后的系统盘快照无法进行回滚，请预先对重要数据进行保存。 多台主机进行一键重装操作，建议每次操作间隔120s以上，否则可能造成重装失败。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，在目标轻量型云主机“操作”列单击“一键重装”。 您也可以单击目标主机“实例名称”进入目标主机详情页，单击右侧顶部“更多”，下拉选择“一键重装” 重装操作系统。 5. 进入“一键重装”界面，下拉“重装选择”确定要重装的系统及版本。如下图示： 6. 在“设置密码”对密码进行配置后，单击“确定”进行系统重装。 说明 密码规则：设置密码限制8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@

本文汇总了使用并行文件服务HPFS产品时常见的管理类问题。 并行文件服务支持挂载物理机还是云主机? HPFS 在不同资源池支持的协议类型不同，支持通过协议服务NFS挂载云主机，HPFSPOSIX协议直接挂载物理机。 详细的资源池支持的协议类型可以通过产品能力地图查看。 如何访问文件系统？云外可以访问吗？ 文件系统可以通过以下几种方式进行访问： 用户使用云管Console访问文件存储（NFS、HPFSPOSIX） 云内通过内网访问文件存储（NFS、HPFSPOSIX） 文件系统可以跨VPC访问吗？ 可以。单文件系统可添加20个VPC，文件系统可创建多个协议服务，绑定不同主机所属的VPC，即可进行跨VPC访问。 您可以通过准备工作开始，完成使用并行文件系统的环境准备工作，也可以通过创建虚拟私有云VPC和创建协议服务直接了解VPC的相关操作。 文件系统的删除/退订按钮为什么无法点击？ 如果您创建的并行文件系统出现删除或退订的时候，无法点击的情况，您可以尝试先删除文件系统数据流动、协议服务等相关资源，再进行删除或退订操作。 如有其他疑问，可以通过点击右上角【我的>工单管理>新建工单】进行咨询。 单个用户可开通的文件存储配额默认是100T，如何申请增加容量配额？ 1. 登录天翼云官网，点击右上角【我的>工单管理>新建工单】。 2. 在“配额类”点击【提问】，进入配额相关页面，点击【配额申请】按页面要求填写工单信息即可。

本文介绍批量配置HTTPS证书的方法。 功能介绍 边缘安全加速平台支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 适用场景 该功能适用于多域名需同时开启HTTPS服务的场景。 注意事项 批量HTTPS证书配置一次最多能关联100个域名，筛选范围仅包含域名状态为已启用且无在途工单的域名。 域名绑定证书后会开启域名HTTPS功能。 配置说明 1. 登录边缘安全加速平台控制台。 2. 单击左侧导航栏【证书管理】【证书列表】。 3. 在【证书列表】页面，单击左上角【添加自有证书】，并上传证书。 4. 证书上传完可开始【绑定域名】。 5. 选择需绑定该证书的域名，单击【提交绑定】即可。 参数名 说明 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 证书公钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。 证书私钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。

本文介绍API安全模块中API标签管理功能。 功能介绍 用户可对API资产进行标签标记，以便对API资产按照不同的维度进行分组分类。API安全提供两种标签类型，一类是平台内置标签，一类是用户自定义标签。 平台内置标签包括：来源、敏感信息、业务用途、自发现标签。 来源：包括手动、自动。若API资产是通过用户手动添加，则会标记为手动；若API资产是通过自发现生成，则会标记为自动。标签名称及内容不可编辑、删除。 敏感信息：在API自发现过程中，若识别到API接口涉及敏感信息的传输，则会标记相应敏感信息，如地址、手机号等。用户可配置是否启用对于某项标签内容的识别。 业务用途：在API自发现过程中，若识别到API接口特征与某业务用途相匹配，则会标记相应业务用途，如登录认证、数据导出等。用户可配置是否启用对于某项标签内容的识别。 自发现标签：下发自发现任务时，可定义本次自发现标签，则本次任务中发现的API资产均会打上对应标签。标签名称不可编辑、删除。标签内容支持新增、编辑、删除。 自定义标签：用户自定义标签名称及标签内容。 说明 API标签的使用范围为所有域名下的API资产，即在域名A下新增的API标签，可在域名B的API资产中使用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。

防护规则 说明 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。

注： 每一步请截图保存结果备查 插件版本 云监控插件版本分为：ctcmagent 与 telegrafagent。最新版本为 telegrafagent，因新版 telegrafagent 具有cpu、内存消耗低等优点，如果资源池具备条件，建议您安装最新版 telegrafagent。 注意 本文主要介绍 CtcmAgent 插件问题排查，telegrafagent 相关排查信息参见 当前 telegrafagent 仅支持部分地区，除 telegrafagent 支持地区外即默认为 CtcmAgent 支持地区。telegrafagent 支持地区参见 确认插件版本 在主机内输入如下命令，对应命令有显示，则表明安装了对应 agent 版本。 shell systemctl status ctcmagent systemctl status telegraf CtcmAgent： telegrafagent： 如果是 telegrafagent，则参见telegrafagent 排查指引。 一、Linux系统监控无数据问题 1. 重启查看服务状态 systemctl status ctcmagent 若为: Unit ctcmagent.service could not be found ，则为系统未安装监控服务，跳过后边步骤即可 下面示例为运行中： 2. 查看网络连通问题 ping 169.254.169.254 若ping不通，说明网络连通故障或目标IP禁ping 执行 curl 169.254.169.254:10051 或 telnet 169.254.169.254 10051 若报错，则目标主机的10051不通，网络存在问题 正常应该为

本文为您介绍WAF接入配置的最佳实践。 将网站域名接入Web应用防火墙（原生版），能够帮助您的网站防御OWASP常见Web攻击和恶意CC攻击流量等，避免网站遭到入侵导致数据泄露，全面保障您网站的安全性和可用性。您可以参考接入配置最佳实践，在各类场景中使用WAF更好地保护您的网站。 说明 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。当前云WAF提供CNAME接入模式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 网站接入WAF准备工作 在将网站业务接入WAF前，您需要完成以下准备工作： 所需接入的网站域名清单，包含网站的源站服务器IP、端口信息等。 所接入的网站域名必须已完成备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含扩展名为PEM/CRT/CER的证书文件、扩展名为PEM/KEY的私钥文件，文件内容均需为PEM编码格式。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。

本节介绍如何查看API列表及API详情。 在API列表页面，可查看已添加的API资产。 查看API列表 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在页面左侧，展示了所有防护对象信息（不包括泛域名、ELB防护对象），支持选择“所有防护对象”或选择单个域名站点，在右侧API列表中查看对应防护对象的详细数据列表。 选择“所有防护对象”，页面右侧展示所有的API资产。 选择单个域名站点，页面右侧展示选中的域名站点API资产。 6. API列表页面上方展示了所选防护对象的API资产统计信息。 API数：统计已识别的API资产数量。 今日新增：统计自然时间今日新增的API数量。 活跃API：统计活跃API数量。 失活API：统计失活API数量。 7. 搜索目标API资产：可通过最近活跃时间、请求方法、生命周期、来源、业务用途、API路径进行搜索。 最近活跃时间：根据API资产最近活跃时间对API资产进行过滤，支持昨天、今天、近3天、近30天，或自定义时间范围。默认选中今天。 请求方法：支持多选。 生命周期：支持多选。 来源：单选。 业务用途：支持多选。 API路径：支持模糊匹配。 8. 查看API列表，列表中字段说明如下。 参数 说明 API名称 API的自定义名称。单击API名称链接，可[查看API详情](

本文主要介绍 集群基本信息。 Kubernetes是一个很容易地部署和管理容器化的应用软件系统，使用Kubernetes能够方便对容器进行调度和编排。 对应用开发者而言，可以把Kubernetes看成一个集群操作系统。Kubernetes提供服务发现、伸缩、负载均衡、自愈甚至选举等功能，让开发者从基础设施相关配置等解脱出来。 Kubernetes可以把大量的服务器看做一台巨大的服务器，在一台大服务器上面运行应用程序。无论Kubernetes的集群有多少台服务器，在Kubernetes上部署应用程序的方法永远一样。 Kubernetes集群架构 Kubernetes集群包含Master节点（控制节点）和Node节点（计算节点/工作节点），应用部署在Node节点上，且可以通过配置选择应用部署在某些特定的节点上。 说明 CCE集群的Master节点由云容器引擎服务创建并托管，您只需创建Node节点。 Kubernetes集群的架构如下所示： 图 Kubernetes集群架构 Master节点 Master节点是集群的控制节点，由API Server、Scheduler、Controller Manager和ETCD四个组件构成。 API Server：各组件互相通讯的中转站，接受外部请求，并将信息写到ETCD中。 Controller Manager：执行集群级功能，例如复制组件，跟踪Node节点，处理节点故障等等。 Scheduler：负责应用调度的组件，根据各种条件（如可用的资源、节点的亲和性等）将容器调度到Node上运行。 ETCD：一个分布式数据存储组件，负责存储集群的配置信息。 在生产环境中，为了保障集群的高可用，通常会部署多个Master，如CCE的集群高可用模式就是3个Master节点。

depnedson 在resouce文档中，我们提及了 dependson。使用 dependson 元参数来处理 Terraform 无法自动推断的隐藏资源或模块依赖关系。仅当某个资源或模块依赖于另一个资源的行为，但在其参数中不访问该资源的任何数据时，才需要显式指定依赖关系。 dependson 的表达式是依赖资源的地址列表。例如需要搭建一台ecs和mysql实例的小型服务端，mysql实例必须在ecs创建成功后才能部署。根据上述要求，具体实现如下： java resource "ctyunecs" "ecsexample" { ... } resource "ctyunmysqlinstance" "mysqlexample" { dependson [ctyunecs.ecsexample] ... } count 默认情况下，resource 块会根据定义创建一个相应的云资源。但是，您希望需要同时创建多个类似的对象（例如相配置的ecs实例），无需为每个资源单独编写 resource 块。Terraform 有两种方法可以实现这一功能： count 和 foreach。 如果 resource 块包含一个 count 值为整数的参数，Terraform 将创建那么多实例。 java resource "ctyunecs" "ecsexample" { count 3 instancename "tfecs${count.index}" ... } 上述示例可以创建 3 个 ctyunecs 资源。但按照要求，ecs 示例的名称是不允许相同的，可以利用 ${count.index} 对每个资源进行标记区分，这是一个从0开始计数的索引值，避免重复。除名称以外，还可以通过${count.index}访问数组，具体示例如下： java 1. 创建2个vpc，名称分别为vpcexamples0,和vpcexamples1,并且我希望vpc的cidr分别不同

本文为您介绍如何管理range分区表、list分区表和多级分区表。 range分区表 创建主分区 plaintext teledb create table tnativerange (f1 bigint,f2 timestamp default now(), f3 integer) partition by range ( f2 ) distribute by shard(f1); CREATE TABLE 建立两个子表 plaintext teledb create table tnativerange201709 partition of tnativerange (f1 ,f2 , f3 ) for values from ('20170901') to ('20171001'); CREATE TABLE teledb create table tnativerange201710 partition of tnativerange (f1 ,f2 , f3 ) for values from ('20171001') to ('20171101'); CREATE TABLE 查看表结构 plaintext teledb d+ tnativerange Table "public.tnativerange" Column Type Collation Nullable Default Storage Stats target Description +++++++ f1 bigint plain f2 timestamp without time zone now() plain f3 integer plain Partition key: RANGE (f2) Partitions: tnativerange201709 FOR VALUES FROM ('20170901 00:00:00') TO ('20171001 00:00:00'), tnativerange201710 FOR VALUES FROM ('20171001 00:00:00') TO ('20171101 00:00:00') Distribute By: SHARD(f1) Location Nodes: ALL DATANODES 创建default分区 不创建default 分区，插入范围越界出错。 plaintext teledb insert into tnativerange values(1,'20160901',1); ERROR: node:dn01, backendpid:39912, nodename:dn01,backendpid:39912,message:no partition of relation "tnativerange" found for row DETAIL: Partition key of the failing row contains (f2) (20160901 00:00:00). 创建default 分区后能正常插入数据。 plaintext teledb

本文介绍CDN回源的流量为什么按照公网下行流量计费了。 媒体存储CDN回源流出流量是指数据从媒体存储传输到天翼云CDN所产生的回源流量，这部分流量将按照CDN回源流出流量计费。具体可参考：计费项。 如您发现CDN回源流量按照公网流量计费，可参考一下原因并根据指引进行操作： 如您的CDN为其他云厂商的产品，则产生的回源流量会按照公网下行流量计算。 如您使用天翼云CDN，需要在源站配置中，选择【媒体存储源站】，此配置下产生的回源流量会按照CDN回源流量进行计费。如您选择【IP或域名】，产生的回源流量将按照公网下行流量计费。 CDN回源流量计费模式说明： CDN回源流量支持按需+资源抵扣包计费，如您为按需计费模式，且源站配置正确，则回源流量会按照CDN回源流量资费进行计费，如您需订购资源抵扣包，可联系您的客户经理或致电服务热线：4008109889。 目前包周期（用量封顶模式）不支持CDN回源量流量计费，如您为包周期计费模式，则所有下行流量（包括CDN回源）均会按照公网下行流量计费，如您需转换计费方式，可联系您的客户经理或致电服务热线：4008109889。 关于您服务具体的计费模式查询，可参考：订购管理。

本文为您介绍如何管理range分区表、list分区表和多级分区表。 range分区表 创建主分区 plaintext teledb create table tnativerange (f1 bigint,f2 timestamp default now(), f3 integer) partition by range ( f2 ) distribute by shard(f1); CREATE TABLE 建立两个子表 plaintext teledb create table tnativerange201709 partition of tnativerange (f1 ,f2 , f3 ) for values from ('20170901') to ('20171001'); CREATE TABLE teledb create table tnativerange201710 partition of tnativerange (f1 ,f2 , f3 ) for values from ('20171001') to ('20171101'); CREATE TABLE 查看表结构 plaintext teledb d+ tnativerange Table "public.tnativerange" Column Type Collation Nullable Default Storage Stats target Description +++++++ f1 bigint plain f2 timestamp without time zone now() plain f3 integer plain Partition key: RANGE (f2) Partitions: tnativerange201709 FOR VALUES FROM ('20170901 00:00:00') TO ('20171001 00:00:00'), tnativerange201710 FOR VALUES FROM ('20171001 00:00:00') TO ('20171101 00:00:00') Distribute By: SHARD(f1) Location Nodes: ALL DATANODES 创建default分区 不创建default 分区，插入范围越界出错。 plaintext teledb insert into tnativerange values(1,'20160901',1); ERROR: node:dn01, backendpid:39912, nodename:dn01,backendpid:39912,message:no partition of relation "tnativerange" found for row DETAIL: Partition key of the failing row contains (f2) (20160901 00:00:00). 创建default 分区后能正常插入数据。 plaintext teledb

相关操作 关闭网页防篡改 您可以在“主动防御 >网页防篡改 > 防护配置”列表的“操作”列中，单击“关闭防护”，关闭对指定主机的网页防篡改防护。 关闭网页防篡改后，HSS会自动释放防护配额。您可将空闲的配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。 注意 关闭网页防篡改防护服务前，请对主机执行全面的检测，处理已知风险并记录操作信息，避免运维失误，使您的主机遭受攻击。 关闭网页防篡改防护服务后，网页应用被篡改的可能性将大大提高，请及时清理主机中的重要数据、关停主机中的重要业务并断开主机与外部网络的连接，避免因主机遭受攻击而承担不必要的损失。 执行关闭网页防篡改操作后，防护目录下的文件将不再受“网页防篡改”功能的防护，建议您提前处理防护目录下的文档，再对文档执行暂停防护、编辑或删除的相关操作。 执行关闭网页防篡改操作后，若您的文档不慎被删除，请在主机本地备份或远端主机的备份路径中查找。 当用户关闭网页防篡改时会同步关闭旗舰版防护。 解绑配额 您可以在“资产管理 >主机管理 > 防护配额”页面的“操作”列中，单击“解除绑定”，解除绑定后，该配额的使用状态将从“使用中”变更为“空闲”。HSS将自动关闭关联主机的网页防篡改防护。 您可将“空闲”的配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。

本小节介绍安装Agent。 Agent概述 什么是Agent？ Agent是企业主机安全提供的一款软件，安装在云服务器上，用于与企业主机安全的云端防护中心进行数据交互，实现对主机的安全检测和防护。如果不安装Agent，将无法使用企业主机安全。 Agent每日凌晨定时执行安全检测任务，全量扫描主机或容器，实时监测主机或容器的安全状态，并将收集的主机或容器信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心；此外Agent也会根据您配置的安全策略，阻止攻击者对主机或容器的攻击行为。 Agent支持的操作系统请参考：使用限制章节。 Agent运行时的进程 Linux系统 Agent运行账号为“root”，运行时包含的进程如下表所示。 Agent进程名称 进程功能 进程所在路径 hostguard 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。 /usr/local/hostguard/bin/hostguard hostwatch 该进程用于Agent进程的守护和监控。 /usr/local/hostguard/bin/hostwatch upgrade 该进程用于Agent版本的升级。 /usr/local/hostguard/bin/upgrade Windows系统 Agent运行账号为“system”，运行时包含的进程如下表所示。 Agent进程名称 进程功能 进程所在路径 hostguard.exe 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。 C:Program FilesHostGuardHostGuard.exe hostwatch.exe 该进程用于Agent进程的守护和监控。 C:Program FilesHostGuardHostWatch.exe upgrade.exe 该进程用于Agent升级。 C:Program FilesHostGuardupgrade.exe

包年/包月注册配置中心到期后会影响注册配置中心正常运行。如果您想继续使用，需要在指定的时间内为注册配置中心续费，否则注册配置中心将被删除，数据丢失且不可恢复。 续费操作仅适用于包年/包月注册配置中心，按需计费云服务器不需要续费，只需要保证账户余额充足即可。 注册配置中心在到期前续费成功，所有资源得以保留，且注册配置中心运行不受影响。 续费相关的功能 包年/包月注册配置中心续费相关的功能如下表所示。 功能 说明 手动续费 包年/包月注册配置中心从购买到被自动删除之前，您可以随时在费用中心为其续费，以延长注册配置中心的使用时间。 自动续费 开通自动续费后，注册配置中心会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。 在一个包年/包月注册配置中心生命周期的不同阶段，您可以根据需要选择一种方式进行续费。 注册配置中心从购买到到期前，处于正常运行阶段，资源状态为“使用中”。 到期后，资源状态变为“已过期”。 到期未续费时，注册配置中心首先会进入宽限期，宽限期到期后仍未续费，资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，资源将被自动删除。 在注册配置中心到期前均可开通自动续费，到期前7日凌晨3:00首次尝试自动续费，如果扣款失败，每天凌晨3:00尝试一次，直至注册配置中心到期或者续费成功。到期前7日自动续费扣款是系统默认配置，您也可以根据需要修改此扣款日。

函数分类 函数 lua原生函数 提供全局、math、os、string、table五种lua函数库的函数。 请求处理相关函数 ctyun.req.starttime、ctyun.req.rawheader、ctyun.req.getmethod、ctyun.req.getheaders、ctyun.req.setheader、ctyun.req.getfullbodydata、ctyun.req.getoriginurl、ctyun.req.seturi、ctyun.req.geturiargs、ctyun.req.seturiargs、ctyun.req.setupstreamurl、ctyun.req.setcache、ctyun.req.enrollheaderback。 响应处理相关函数 ctyun.resp.getheaders、ctyun.resp.getcode、ctyun.resp.setheader、ctyun.resp.setlimitrate、ctyun.resp.setoutput、ctyun.resp.setcode、ctyun.resp.exit。 时间相关函数 ctyun.now、ctyun.time、ctyun.localtime、ctyun.utctime、ctyun.today、ctyun.updatetime、ctyun.cookietime、ctyun.httptime、ctyun.parsehttptime、ctyun.sleep。 编解码相关函数 ctyun.json.encode、ctyun.json.decode、ctyun.encodeargs、ctyun.decodeargs、ctyun.unescapeuri、ctyun.escapeuri、ctyun.decodebase64、ctyun.encodebase64。 加解密相关函数 ctyun.crc32long、ctyun.crc32short、ctyun.sha1bin、ctyun.md5、ctyun.md5bin、ctyun.hmacsha1。 正则表达式相关函数 ctyun.re.match、ctyun.re.find、ctyun.re.gmatch、ctyun.re.sub、ctyun.re.gsub。 访问远程数据相关函数 ctyun.queryremote、ctyun.querygetcache。 全局字典相关函数 ctyun.dict.set、ctyun.dict.get、ctyun.dict.delete、ctyun.dict.capacity、ctyun.dict.freespace。 异步处理相关函数 ctyun.thread.run。 其他功能函数 ctyun.getiplocation、ctyun.splitstring。

本文主要介绍入门指引。 本文将为您介绍分布式消息服务Kafka入门的基本流程，主要包括控制台创建Kafka专享版实例、使用弹性云主机连接实例的操作，帮助您快速上手Kafka。 您还可以通过API方式创建Kafka实例、在业务代码中连接Kafka实例。 操作流程 图Kafka使用流程 1. 环境准备 Kafka实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 Kafka实例创建后，您需要在弹性云主机中下载和安装Kafka开源客户端，然后才能进行生产消息和消费消息。 2. 创建Kafka实例 在创建实例时，您可以选择是否开启SASL访问，开启后，数据加密传输，安全性更高。同时，SASL开关只能在创建实例时设置，实例创建成功后，不支持修改。 3. （可选）创建Topic Kafka实例创建成功后，如果没有开启“Kafka自动创建Topic”，需要手动创建Topic，然后才能进行生产消息和消费消息。 4. 连接实例 针对实例是否开启SASL开关，在连接时是否需要下载证书，区分以下两种场景： 未使用SASL：包含内网访问和公网访问。 使用SASL：包含内网访问和公网访问。 5. 配置告警 配置Kafka实例监控告警策略，监控实际业务运行状态。 说明 关于Kafka的相关概念，请参考