本节主要介绍通用类问题 什么是应用编排服务？ 应用编排服务（Application Orchestration Service，简称CTAOS）可以帮助您将应用一键式部署到云上，简化相关云服务管理操作。AOS通过模板来描述和编排应用及相关云服务，实现自动化部署应用、创建云服务，提供云容器应用全生命周期运维管控能力。 什么是堆栈？ 堆栈是应用程序、云服务资源的集合。堆栈将应用、云服务作为一个整体来进行创建、升级、删除等。 在AOS中，通过创建堆栈可以把应用程序一键式部署到云上，并有序的管理所依赖的云服务资源。 什么是模板？ 模板是一种遵循AOS语法规范的文本文件，描述了应用属性、云服务配置以及应用与云服务之间的依赖关系。您可以像管理代码一样来管理模板，也可像通过git、svn等代码管理工具一样来管理不同版本的模板。通过模板的方式来管理应用和云服务，可以简化应用系统上云设计，轻松复制和搭建开发、测试、生产环境，确保应用系统可配置、可演进、可回溯。 什么是TOSCA模板？ TOSCA（Topology and Orchestration Specification for Cloud Application）是开放标准联盟OASIS管理的独立技术委员会之一，其发布的云应用拓扑及编排描述规范（简称TOSCA规范）目标是规范云应用生命周期管理流程。 表 应用拓扑模型节点及关系说明 操作名称 说明 Resource 资源类节点，如VM、容器等。 AppGroup 云应用组，由一个或多个云应用组成，可整体进行生命周期操作，如部署、升级。也可对应到客户产品、业务系统/子系统等。 Application 运行在资源上的云应用，是对最小可部署对象的一种描述。其中，MicroService也是一种Application。 SoftwareComponent 软件组件，云应用组件的组成部分，即软件包。也可以作为Application的属性，是可选节点。 Service 应用所依赖的服务。服务是对按需取用的功能对象的一种描述。 DependsOn 节点间的依赖关系，决定了创建顺序，为基础关系。 HostedOn 只能用于Application与Resource之间，表示应用运行在资源上。 ConsistsOf 表示组合关系。例如，AppGroup由Application组成。 ConnectsTo 表示调用或连接关系。例如，Application和Application之间，资源与资源之间。 PackageConsistsOf 应用和软件组件之间的组合关系 。

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

本节主要介绍如何使用API删除Pushgateway监控配置。 此操作用来删除Pushgateway监控配置。 注意 如果删除了“指标必须具备的label”，可能会造成相关监控数据无法识别的风险。 请求语法 plaintext DELETE /rest/v1/system/config/monitor?serverIdserverid1,serverid2,serveridN HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "pushgateway":address:port, "pushgatewayLabels": [ "key1", "key2", "key3", ... ] "collectMetric": name, "collectMetricItems": [ "item1", "item2", "item3", ... ], } 请求参数 参数 类型 描述 是否必须 serverId String 指定要删除Pushgateway监控配置的HBlock服务器ID。一次可以指定多个HBlock服务器的ID，以英文逗号（,）分开。如果不填写，默认为所有HBlock服务器删除指定的Pushgateway监控配置。 否 pushgateway String 指定Pushgateway的地址和接口。 取值：格式为IPv4 :port 、[IPv6 ]:port 或者domainname :port。 是 pushgatewayLabels Array of pushgatewayLabel 指定Pushgateway对应的标签值。 取值：label项。 否 collectMetric String 指定采集的监控指标。 取值为：server、fileSystem、interface、load、disk、tcp、os。 默认删除的上述所有监控指标。 否 collectMetricItems Array of collectMetricItem 指定监控指标下的配置项。 否 请求示例1 为服务器hblock1、hblock2删除相关的Pushgateway监控配置：标签为agent、idc，监控指标为disk，监控指标配置项为pstore、devpts。 plaintext DELETE /rest/v1/system/config/monitor?serverIdhblock1,hblock2 HTTP/1.1 Date: Fri, Fri, 24 May 2024 07:01:39 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 216 Host: 192.168.0.110:1443 { "pushgateway": "192.168.0.1:9091", "pushgatewayLabels": [ "agent", "idc" ], "collectMetric": "disk", "collectMetricItems": [ "pstore", "devpts" ] }

本文介绍HBlock、CSI插件和Cinder驱动插件的生命周期策略。 通过HBlock、CSI插件和Cinder驱动插件的产品生命周期支持策略，您可以了解各生命周期阶段的服务变化，以便合理规划产品使用与续保服务，有序实施版本更新或升级，最大限度保证数据安全及业务连续性。 定义 阶段 服务支持 全面支持阶段（General Availability，GA） 产品发布，进入全面支持阶段，针对该阶段发现的软件缺陷和安全漏洞提供修复版本，维护产品更新和升级。 终止支持阶段（End of Support Life，EOSL） 停止该版本产品所有支持，请尽快升级到提供支持的产品版本。 HBlock各版本生命周期 版本 全面支持阶段 终止支持阶段 4.0 2026年03月24日 2028年09月24日 3.10 2025年09月25日 2028年03月25日 3.9 2025年04月21日 2027年10月21日 3.8 2025年02月14日 2027年08月14日 3.7 2024年08月08日 2027年02月08日 3.6 2024年06月03日 2026年12月03日 3.5 2024年03月04日 2026年09月04日 3.4 2023年07月12日 2026年01月12日 3.3 2022年12月23日 2025年06月23日 3.2 2022年09月26日 2025年03月26日 3.1 2022年06月14日 2024年12月14日 3.0 2022年01月18日 2024年07月18日 2.1 2021年08月27日 2024年02月27日 2.0 2021年05月28日 2023年11月28日

训推服务支持包周期和卡时按需计费两种计费模式。本节为您详细介绍包周期计费模式。 包周期付费指按订单的购买周期计费，是一种预付费模式，即先付费再使用。您可以通过包周期计费提前预留资源，同时享受比按量计费更大的价格优惠。包周期计费适用于多种场景，尤其是需要稳定资源并长期使用的情况。 费用余额为0时，立即会触发订单冻结动作， 现有运行中的训练任务/启动的开发机实例会停止，但开发中work/cache 中的数据不会丢失，训练会立即终止；新创建开发机/任务会给出欠费提示，持久化存储不会被回收。 产品名称 规格 CPU 内存（GB） 显卡类型 显卡数 说明 标准价格（含税） 单位 训推服务DOLC扩展型包周期 168C1352G8910B64G（液冷）或以上 168 1352 910B 8 共享集群 198182.95 元/服务月 训推服务DOLC独立型包周期 168C1352G8910B64G（液冷）或以上 168 1352 910B 8 独立集群 196000.00 元/服务月 训推服务DOAC扩展型包周期 168C1352G8910B64G(风冷)或以上 168 1352 910B 8 共享集群 174518.09 元/服务月 训推服务DOAC独立型包周期 168C1352G8910B64G(风冷)或以上 168 1352 910B 8 独立集群 172000.00 元/服务月 训推服务FOL2 224C2048G8H80064G或以上 224 2048 H800 8 独立集群 241212.00 元/服务月 训推服务H20专属节点 104C2048GB8H2096GB 104 2048 H20 8 专属节点 44000.00 元/服务月

本文帮助您了解对象存储对象多版本相关的功能。 使用场景 利用多版本管理，您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 注意 ZOS新创建的桶不会自动开启多版本功能，当向同一个桶上传同名的对象时，新上传的对象将覆盖原有的对象。 开启多版本 新上传对象，ZOS自动为每个对象创建唯一的版本号。上传同名的对象将以不同的版本号同时保存在ZOS中。 开启版本管理前，桶中已有对象版本ID为空，再次上传该同名对象，新上传的文件会生成新的版本号。 列出桶内对象列表时会列出最新对象和历史版本对象。 可以指定最新对象或任一历史版本对象进行下载或删除。 版本 描述 最新版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，最后一次操作保存的版本号就是最新版本。 历史版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，除最新版本外的其他版本号为历史版本。 暂停多版本 当不需要对桶内对象进行版本控制时，可以暂停多版本控制： 多版本管理可以由开启状态变更为暂停状态，但无法返回未启用状态。 暂停后新上传的对象版本号为空。若之前有版本号为空的同名对象，则会覆盖该版本号为空的对象。 暂停后桶内已有的历史版本不会被删除，将继续保留ZOS中并支持下载，若你不再需要这些历史版本，请手动删除。 暂停后对象被删除或覆盖后无法找回。

并行文件服务支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件来源 资源类型 操作事件 字段 存储 并行文件服务 创建文件系统 createfs 存储 并行文件服务 扩容文件系统 resizefs 存储 并行文件服务 重命名文件系统 renamefs 存储 并行文件服务 退订文件系统 deletefs

并行文件服务支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件来源 资源类型 操作事件 字段 存储 并行文件服务 创建文件系统 createfs 存储 并行文件服务 扩容文件系统 resizefs 存储 并行文件服务 重命名文件系统 renamefs 存储 并行文件服务 退订文件系统 deletefs

本页面主要介绍云间高速(标准版)对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“广域云网”，资源类型选择“云间高速（标准版）”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

对象存储服务支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 约束与限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作名称 设置用户配额 删除用户配额 设置桶配额 查询自定义域名列表 设置自定义域名 删除自定义域名 设置桶级别用户事件总线开关状态 查询桶可复制区域 设置跨域复制规则 查询跨域复制进度 删除跨域复制规则

本页面主要介绍云硬盘备份对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

健康检查配置 说明 健康检查 默认开启，可关闭或打开 健康检查类型 可选的方式：HTTP、TCP、UDP。TCP协议监听器只可选TCP，UDP协议监听器只可选UDP。 HTTP协议/HTTPS协议监听器可选HTTP或TCP。 健康检查端口 支持使用后端主机端口和使用特定端口两种类型，默认为使用后端主机端口。在主机组开启全端口转发时必须使用特定端口。端口范围：165535。 自定义请求/响应 对于UDP类型的健康检查，支持自定义请求/响应。输入格式支持文本（ASCII可见字符）和十六进制两种方式。该功能需要加白名单开通。 间隔时间 每隔多久进行一次健康检查。缺省5s，取值范围：1~20940 超时时间 等待主机返回健康检查的时间。缺省2s，取值范围2~60s 最大重试次数 缺省2次，取值范围1~10，健康检查失败达到最大重试次数后，进入健康检查失败状态。 检查路径 HTTP检查类型选项，长度1~80，检查URL。以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’ HTTP方法 HTTP检查类型选项，可选：GET、HEAD。GET检查类型：使用GET方法发送HTTP请求到后端主机，负载均衡器期望从主机获取完整的响应内容。这种检查类型通常用于检查后端主机的完整性和性能，并确保主机能够正确地处理和响应GET请求。HEAD检查类型：使用HEAD方法发送HTTP请求到后端主机，负载均衡器仅期望从主机获取HTTP响应头部，而不需要获取完整的响应内容。这种检查类型通常用于检查主机的可用性和响应时间，而无需传输大量数据。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx

说明 分布式缓存Redis增强版，专注于多线程和高吞吐量，通过优化Redis配置参数，计算每个Redis数据分片所在虚机规格来相应调整线程参数，最终达到最优性能。 对比项 基础版 增强版 经典版 兼容开源Redis版本 兼容开源Redis 5.0/6.0/7.0，单线程 兼容开源Redis 6.0/7.0，多线程 兼容开源Redis 2.8/4.0/5.0，单线程 性能 单分片QPS达10万/秒 单分片QPS达22万~30万/秒 单分片QPS达10万/秒 实例规格 提供标准版、Cluster集群、Proxy集群、读写分离多种实例类型： 标准版实例可选1GB64GB缓存容量 Cluster集群可选单分片1GB64GB缓存容量，分片数可选3256片 Proxy集群可选单分片1GB64GB缓存容量，分片数可选3256片 读写分离可选单节点1GB64GB, 副本数可选210 提供标准版、Cluster集群、Proxy集群、读写分离多种实例类型： 标准版可选4GB64GB缓存容量 Cluster集群可选单分片4GB64GB缓存容量，分片数可选3256片 Proxy集群可选单分片4GB64GB缓存容量，分片数可选3256片 读写分离可选单节点4GB64GB, 副本数可选210 提供单机、主备、集群多种实例类型： 单机、主备实例可选2GB32GB缓存容量 集群单机实例可选择16GB512GB 集群主备实例可选择16GB1024GB 功能区别 6.0/7.0版本支持账号权限管理 只支持单线程 支持SSL安全管理 支持账号权限管理 支持多线程 不支持SSL安全管理 集群版支持账号权限管理，单机、主备不支持 只支持单线程 不支持SSL安全管理

平台侧确认注册成功 NVR设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。 添加下级平台 在【添加设备】的设备配置页面，下拉设备类型选择Platform，填写设备名称、设备地址、经纬度和所属行业等相关信息后，进入下一步。 在接入配置页面，选择GB28181凭证并勾选资源包，完成设备添加后，与平台进行级联。 GB35114协议接入 GB35114是公共安全视频监控联网信息安全技术标准，在GB/T 28181的基础上对监控联网视频信息以及控制信令信息保护提出了进一步的安全要求，使用国密算法、数字签名、数字证书等技术确保前端设备身份真实可信、控制信令来源可信、内容防篡改，保护视频数据不泄密。 添加设备 在添加国标设备的接入配置页面，若选择启用GB35114协议，则无需选择GB28181凭证即可完成设备创建。 SIP服务信息获取 GB35114设备注册前，还需要获取SIP服务信息和设备国标ID等信息，用户可以进入设备详情页查看。 接入信息：获取设备国标ID。 SIP服务信息：可获取SIP服务器ID、SIP服务器域、SIP服务器地址、SIP服务器TCP端口和UDP端口。

VPN连接支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 事件名称 资源类型 创建SSL服务端 SSL VPN 删除SSL服务端 SSL VPN 创建SSL客户端 SSL VPN 删除SSL客户端 SSL VPN 创建IPsec连接 IPsec VPN 删除IPsec连接 IPsec VPN 说明 仅集群模式资源池支持

本文为API接口鉴权签名生成指南。 完整的EOP请求，除了业务参数以外，还必须在请求头中包含以下鉴权信息： ctyuneoprequestid：请求ID eopdate：请求时间 EopAuthorization：构造的鉴权头（关键） 下面说明具体的签名生成流程。 一、准备工作 1. 获取密钥 ：登录天翼云控制台 → 账号中心 → 安全设置 → 用户AccessKey，获取ctyuneopak和ctyuneopsk。 2. 生成时间：请求时间eopdate必须为北京时区的当前时间，格式为YYYYMMDDTHHMMSSZ（如：20211221T163614Z）。 3. 请求ID：每个请求都必须有一个唯一的ctyuneoprequestid，推荐用UUID生成。 二、签名生成流程（4步完成） 步骤1：构造待签名字符串 待签字符串由三部分构成：“需要签名的header参数”、“查询参数（如果有）”、“请求体（如果有）”，通过"n"连接。 plaintext 待签名字符串 排序后的请求头 + "n" + 排序后的查询参数 + "n" + 请求体SHA256哈希值 具体操作： 请求头处理 ：必须包含ctyuneoprequestid和eopdate，按header名称字母顺序排序。 plaintext header1:value1nheader2:value2nheader3:value3 查询参数处理 ：按参数名字母顺序排序，用&连接。 plaintext param1value1¶m2value2 请求体处理：对原始请求体进行SHA256哈希，转为16进制字符串。 步骤2：构造动态密钥 使用 HMACSHA256 算法，进行链式计算，生成动态密钥。HMACSHA256(key, data) 表示使用密钥 key 对数据 data 进行 HMACSHA256 计算。 plaintext ktime HMACSHA256(ctyuneopsk, eopdate) kAk HMACSHA256(ktime, ctyuneopak) kdate HMACSHA256(kAk, eopdate的前8位日期)

本节主要介绍了SQL Server一些常用的函数，供用户在生产和实践中使用。 聚合函数 聚合函数是指对一组值计算，并返回单个值的计算结果。 除了 COUNT() 外，聚合函数都会忽略 Null 值。 聚合函数通常与 SELECT 语句的 GROUP BY 子句一起使用。 所有聚合函数均为确定性函数。 换言之，每次使用一组特定的输入值调用聚合函数时，它们所返回的值都是相同的。 APPROXCOUNTDISTINCT APPROXCOUNTDISTINCT( expression ) 计算组中每行的表达式，并返回组中唯一非空值的近似数。 此函数旨在跨响应速度比绝对精度更为关键的大型数据集进行聚合。 使用 APPROXCOUNTDISTINCT 此示例返回学生表中不同主键的近似数。 SELECT APPROXCOUNTDISTINCT(TestKey) AS result FROM db1.students; 下面是结果集： result 12456 结合使用 APPROXCOUNTDISTINCT 和 GROUP BY 此示例返回学生表中不同主键的近似数。 SELECT AGE, APPROXCOUNTDISTINCT(OOrderKey) AS Result FROM db1.students GROUP BY AGE ORDER BY AGE; 下面是结果集。 AGE Result 11 7397838 12 7387803 13 388036 CHECKSUMAGG CHECKSUMAGG ( [ ALL DISTINCT ] expression ) 函数返回组中各值的校验和。 CHECKSUMAGG 将忽略 null 值。 参数 介绍 ALL 向所有值应用此聚合函数。 ALL 为默认参数。 DISTINCT 指定 CHECKSUMAGG 返回唯一值的校验和。 expression 整数表达式。 分析函数 分析函数基于一组行计算聚合值。 但是，与聚合函数不同，分析函数可能针对每个组返回多行。 可以使用分析函数来计算移动平均线、运行总计、百分比或一个组内的前 N 个结果。

本节指导您快速上手漏洞扫描服务。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站和主机进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测和漏洞生命周期管理服务。 用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 购买漏洞扫描服务 注意 购买漏洞扫描服务时，系统将自动调用数据加密服务的接口，为漏洞扫描服务创建一个默认密钥。若账户余额不足100元，系统将无法创建默认密钥，从而导致漏洞扫描服务开通失败。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 单击“升级规格”，进入购买页面，选择计费模式、服务版本、购买时长和扫描包数量。 后面操作以“企业版”为例进行介绍。 说明 漏洞扫描服务提供基础版、专业版、高级版和企业版扫描服务，基础版可免费使用，但是功能和规格受限，专业版、高级版和企业版需付费。 新增域名 1. 在左侧导航树中，选择“资产列表”，在域名列表的左上角，单击“新增域名”。 2. 域名信息配置，填写域名名称和“域名/IP地址”。 3. 单击“确认”，进入域名认证页面。 4. 选择“免认证”，单击“完成认证”。 5. （可选）根据实际情况完成网站设置。 如果网站中某些网页需要登录才能访问，请您进行登录设置，以便VSS能够为您发现更多安全问题。

本节介绍云容器引擎的最佳实践：容器内获取客户端源IP。 客户端真实源IP地址可以用于分析网站流量和用户行为。通过分析来源IP地址，可以了解用户的地理位置、浏览器偏好和其他用户行为指标。这些数据可以用于优化网站设计、定位目标受众和改善用户体验。 在容器化场景下，客户端和容器服务端之间可能存在多种代理服务器，外部请求在经过多次转发后，容器中服务无法获取到客户端真实源IP。 场景介绍 不同请求类型，获取客户端真实IP说明如下： 类型 说明 HTTP/HTTPS请求 通过在ELB监听器开启XForwardedFor，业务应用可以通过XForwardedFor头部提取到源地址，从而获得客户端真实IP。 TCP请求 通过在后端主机配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块，需要在ELB后端主机中安装TOA插件，以实现后端主机可获取客户端真实源IP地址的目的。 对于HTTP/HTTPS请求，具体实现分为以下两类： 服务类型 说明 负载均衡 ELB访问方式，是通过弹性负载均衡ELB产品来实现负载均衡。通过创建LoadBalancer SVC时，指定注解方式开启XForwardedFor。当通过ELB访问工作负载时，可以通过XForwardedFor头部提取到源地址。 节点端口（NodePort） NodePort访问方式，是将容器端口映射到节点端口，实现获取客户端源IP有以下方式： 当配置SVC外部流量策略为Local时，表示请求不经过转发，可以获取客户端源ip； 当配置SVC外部流量策略为Cluster时，需要通过手动创建监听器及后端主机组，开启XForwardedFor实现。

本章介绍函数工作流如何在线调试函数。 注意事项 事件数据作为event参数传入入口函数，配置后保存可以持久化，以便下次测试使用。每个函数最多可配置10个测试事件。 创建测试事件 1. 登录FunctionGraph控制台，在左侧导航栏选择“函数 > 函数列表”，进入函数页面。 2. 单击函数名称，进入函数详情界面。 3. 在函数详情页，选择函数版本，单击“测试”，弹出“配置测试事件”页。 4. 在“配置测试事件”界面填写测试信息，如下表所示，带参数为必填项。 测试信息 参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。默认值为：“创建新的测试事件”。 事件模板 使用空白模板需要编辑测试事件。使用已有模板会自动加载相对应的测试事件。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写）， 数字和下划线“”（或中划线“”），并以字母或数字结尾， 长度为125个字符，例如even123test。 测试事件 输入测试事件。 事件模板说明 模板名称 模板说明 timereventtemplate 模拟TIMER事件，触发函数。 5. 单击“保存”，完成测试事件创建。 测试函数 函数创建以后，可以在线测试函数能否正常运行，验证能否实现预期功能。 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 单击函数名称，进入函数详情界面。 3. 在函数详情页，选择函数版本，选择测试事件，单击“测试”。 选择测试事件 4. 单击“测试”，可以得到函数运行结果。 说明 “日志”页签最多显示2K日志，如需查看完整日志，请参见

优惠活动 包年订购折扣：针对一次性包年付费服务，云防火墙（原生版）包年优惠价格为：1年85折、2年7折、3年5折。 优惠折扣：云防火墙（原生版）产品订购享受7折优惠。该优惠折扣2025年1月1日结束，即在2025年1月1日及之后订购云防火墙（原生版）产品不再享受该优惠折扣。 说明 包年订购折扣与优惠折扣不能同享，取低者计算。 规则 续订规则 云防火墙（原生版）购买周期到期后，若未及时进行手动续订或开启自动续订，资源将到期冻结。配额冻结后，进入保留期，在保留期内展示全部历史告警数据和防护配置策略，但该防护配额自动降级为2Mbps的公网流量处理能力，除非客户重新订购该VPC的防火墙；保留期后，进行该配额的资源销毁，开启自动续订或更多信息请查看续订规则。 变配规则 创建云防火墙实例后，如果当前实例配置无法满足您的业务需求，您可以修改实例规格。您可以对实例的可防护公网IP数、公网流量处理能力数值进行调整，升配和降配均可支持。更多信息请查看变配规则。 退订规则 创建云防火墙实例后，如果当前实例配置无法满足您的业务需求，可根据需要，在符合天翼云退订规则的前提下，灵活退订配额。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。更多信息请查看退订规则。

参数 说明 服务器地址 输入AD域服务器地址。 状态 选择开启或关闭AD域远程认证，默认开启。 开启，表示开启AD域认证。在配置信息有效情况下，登录系统时启动AD域认证，或同步AD域用户。 关闭，表示关闭AD域认证。 SSL 选择开启或关闭SSL加密认证，默认关闭。 关闭，表示禁用SSL加密认证。 开启，表示启用SSL加密认证，将加密同步用户或认证用户所传输的数据。 模式 选择“同步模式”。 端口 AD域远程服务器的接入端口，默认389端口。 登录名 输入AD域服务器的帐户的登录名。 密码 输入AD域服务器的帐户的密码。 域 输入AD域的域名。 Base DN 输入AD域远程服务器上的基准DN。 部门过滤 输入AD域远程服务器上待过滤的部门。 用户过滤 输入AD域远程服务器上待过滤的用户。 登录名过滤 输入待过滤的用户登录名，过滤多个登录名用“ 姓名 输入AD域远程服务器上代表用户姓名的属性名，例如name。 邮箱 输入AD域远程服务器上代表用户邮箱的属性名，例如mail。 手机 输入AD域远程服务器上代表用户手机的属性名，例如mobile。 同步方式 选择同步AD域用户的方式，包括“手动同步”和“自动同步”。 手动同步：信息配置完成后，手动执行用户同步操作。 自动同步：信息配置完成后，按照配置自动执行用户同步。需同时配置“同步时间”、“同步周期”、“结束时间”。 目标部门 选择将用户帐号的所归属的系统部门。 更多 勾选“覆盖已有用户”。 勾选，表示覆盖同“登录名”的用户帐号，刷新用户信息。 不勾选，表示跳过同“登录名”的用户帐号。

本小节主要介绍如何查看个人信息. 查看个人信息 “个人中心”涵盖当前用户帐号基本信息、权限范围、系统使用日志等信息，以及手机令牌和SSH公钥配置信息等。 操作步骤 1. 登录云堡垒机系统 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面，可查看用户基本信息，包括登录名、密文密码、姓名、手机号码、邮箱地址、角色、部门等信息。 3. 分别单击各页签，即可查看相应用户信息。 手机令牌 选择“手机令牌”页签，可查看用户绑定手机令牌情况。 更多绑定和解绑手机令牌说明，请参见 管理登录手机令牌。 手机令牌 我的日志 选择“我的日志”页签，可查看个人“系统登录日志列表”、“系统操作日志列表”和“资源登录日志列表”。 个人用户不能清理个人日志，日志仅能由有系统管理权限的用户统一管理，详细说明请参见数据维护。 系统登录日志列表 主要包括登录时间、登录用户来源IP、登录方式、登录结果等信息。 系统操作日志列表 主要包括操作时间、操作用户来源IP、操作的模块、操作内容、操作结果等信息。 资源登录日志列表 主要包括资源名称、资源协议类型、资源账户、登录资源用户来源IP、登录起止时间、会话时长等信息 修改个人基本信息 用户个人基本信息包括登录名、密文密码、姓名、手机号码、邮箱地址、角色、部门等信息。 在个人中心，用户个人可修改个人密码、修改姓名、手机号码、邮箱地址。 “登录名”系统唯一，一旦创建，不能修改。 “角色”、“部门”用户个人不能修改，仅能由有用户管理权限用户统一管理，详细说明请参见 查询和修改用户信息。

此小节介绍计费概述。 通过阅读本文，您可以快速了解云堡垒机CBH的计费模式、计费项、续费、欠费等主要计费信息。 计费模式 云堡垒机提供包年/包月计费模式。包年/包月是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，您必须确保帐户余额充足。关于包年/包月计费模式的详细介绍请参见计费说明。 计费项 云堡垒机的计费项只由性能规格费用组成。了解每种计费项的计费因子、计费公式等信息，请参考计费项。 如需了解实际场景下的计费样例以及各计费项在不同计费模式下的费用计算过程，请参见计费样例。 续费 包年/包月云堡垒机在到期后会影响云堡垒机的正常运行。如果您想继续使用云堡垒机，需要在规定的时间内为云堡垒机进行续费，否则云堡垒机实例将会自动释放，数据也可能会丢失。续费包括手动续费和自动续费两种方式，您可以根据需求选择。了解更多关于续费的信息，请参见续费概述。 欠费 在使用云服务时，帐户的可用额度小于待结算的账单，即被判定为帐户欠费。欠费后，可能会影响云服务资源的正常运行，需要及时充值。详细介绍请参见欠费说明。 停止计费 当云服务资源不再使用时，可以将他们退订或删除，从而避免继续收费。详细介绍请参见停止计费。

本章节介绍ECS应用实例监控相关功能 分页查看调用链列表 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 在顶部菜单栏中选择“调用链查询”，在右侧输入框中选择查询时间即可分页查询调用链 具体使用说明可参考应用性能监控用户指南调用链查询 查询调用链列表 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“调用链查询>常用查询” 客户端应用名：调用链中第一段的发起调用的应用名称 接口名称：显示发起API调用时的接口名称 TraceId：调用链的唯一标识 客户端IP：调用链中第一段的发起调用的应用的IP地址 服务端IP：调用链中第一段的被调用的应用的IP地址 耗时大于等于(ms)：调用耗时时间大于指定值 其他查询：其他查询主要包括调用类型，状态，响应码 自定义查询：调用链查询支持自定义查询，您可以输入常用的标签，或是上报数据时自定义的标签进行查询。标签样例请参见“APM常用标签” 查看调用链详情 1. 在Ecs应用详情左边导航栏中选择“应用监控” 2. 在顶部菜单栏中选择“调用链查询” 3. 在应用列表中选择您想查看的应用，点击「 应用名称 」打开新的应用详情链接 4. 点击TraceID，打开Trace详情弹窗 具体使用说明可参考应用性能监控>用户指南>Trace详情

基本信息 负载类型：选择守护进程DaemonSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 容器运行时：CCE集群默认使用普通运行时。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 健康检查：设置容器健康检查 环境变量：设置环境变量 数据存储：存储概述 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 容器日志：使用ICAgent采集容器日志 说明 负载实例数大于1时，不支持挂载云硬盘类型的存储。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本文主要介绍如何创建命名空间。 操作场景 命名空间（Namespace）是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 例如可以将开发环境、测试环境的业务分别放在不同的命名空间。 前提条件 至少已创建一个集群。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 命名空间类别 命名空间按创建类型分为两大类：集群默认创建的、用户创建的。 集群默认创建的：集群在启动时会默认创建default、kubepublic、kubesystem、kubenodelease命名空间。 default：所有未指定Namespace的对象都会被分配在default命名空间。 kubepublic：此命名空间下的资源可以被所有人访问（包括未认证用户），用来部署公共插件、容器模板等。 kubesystem：所有由Kubernetes系统创建的资源都处于这个命名空间。 kubenodelease：每个节点在该命名空间中都有一个关联的“Lease”对象，该对象由节点定期更新。NodeStatus和NodeLease都被视为来自节点的心跳，在v1.13之前的版本中，节点的心跳只有NodeStatus，NodeLease特性从v1.13开始引入。NodeLease比NodeStatus更轻量级，该特性在集群规模扩展性和性能上有明显提升。 用户创建的：用户可以按照需要创建命名空间，例如开发环境、联调环境和测试环境分别创建对应的命名空间。或者按照不同的业务创建对应的命名空间，例如系统若分为登录和游戏服务，可以分别创建对应命名空间。

事件模式是事件总线EventBridge用来过滤相关事件的模式定义。事件总线EventBridge通过事件模式过滤事件并将事件路由到事件目标，事件模式必须和匹配的事件具有相同的结构。本文介绍事件模式的常用类型。 注意事项 事件模式匹配的注意点如下： 事件必须包含事件模式中列出的所有字段名对应的过滤项。 事件模式是逐个字符精确匹配的 ，需注意大小写，匹配过程中不会对字符串进行任何标准化的操作。 事件模式匹配中，JSON对象的各个属性支持AND 语义，数组中的各元素支持OR语义。 事件模式当前匹配仅支持根据事件的属性进行过滤，暂不支持data数据过滤。 创建事件模式时，某一字段下的匹配字段需符合一定的规则，详见下文。 指定值匹配 您可以指定某个字段的值进行匹配。 例如，以下示例事件模式只匹配source是分布式消息服务Kafka的事件。下表介绍事件从事件源发出经过事件模式过滤的过程。 从事件源接收的事件 事件模式 模式过滤后的事件 plaintext { "id": "f36b49b668914b59b11cbf689xxxx712", "source": "ctyun:kafka", "type": "ctyun:kafka:Topic:Message", "specversion": "1.0", "datacontentype": "application/json; charsetutf8", "subject": "ctyun:kafka:75dcxx1eb5:topic:source1", "time": "20241203T09:48:00.696Z", "data": { "key": "test2", "value": "test1" } } plaintext { "source": [ { "exact" : "ctyun:kafka" } ] } plaintext { "id": "f36b49b668914b59b11cbf689xxxx712", "source": "ctyun:kafka", "type": "ctyun:kafka:Topic:Message", "specversion": "1.0", "datacontentype": "application/json; charsetutf8", "subject": "ctyun:kafka:75dcxx1eb5:topic:source1", "time": "20241203T09:48:00.696Z", "data": { "key": "test2", "value": "test1" } }

本文介绍如何在事件总线EventBridge管理控制台添加Apache RocketMQ作为事件流中的服务类型。 前提条件 开通事件总线EventBridge并委托授权。 创建事件流 1. 登录事件总线EventBridge管理控制台，在左侧导航栏，单击事件流。 2. 在创建事件流面板，设置任务名称和描述，配置以下参数，然后单击创建。 1. 在Source（源） 、Filtering（过滤） 、Transform（转换）配置向导，设置数据提供方、事件过滤、转换规则，单击下一步。 2. 在Sink（目标） 配置向导，选择服务类型Apache RocketMQ，配置以下参数。 3. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流 页面的状态 栏查看启动进度。 参数说明 参数 说明 示例 接入点 Apache RocketMQ集群broker接入点，由IP与端口号拼接而成，以逗号分隔。 172.17.0.25:9876,192.17.0.26:9876,172.17.0.27:9876 Topic topic名称。 topic1 网络配置 根据业务场景选择对应配置。 专有网络 公网网络 专有网络 VPC 网络配置选择专有网络时必填，选择集群所在的VPC。 vpc 子网 网络配置选择专有网络时必填，选择集群所在的子网。 subnet 认证模式 选择认证模式。 无需配置 ACL 用户名：填写用户名 密码：填写密码 无需配置 消息体 选择消息体（Body）的内容，更多内容请参考事件内容转换。 全部事件 自定义属性 选择自定义属性（Properties）的内容，更多内容请参考事件内容转换。 空 索引 选择索引（Keys）的内容，更多内容请参考事件内容转换。 空 标签 选择标签（Tags）的内容，更多内容请参考事件内容转换。 空

本节介绍了DDoS高防（边缘云版）如何配置CC防护功能。 使用场景 CC攻击（Challenge Collapsar）是DDoS（分布式拒绝服务）的一种。CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，如模拟多个正常用户不停地访问需要大量数据操作的动态页面，造成服务器资源的浪费，CPU长时间处于满载，网络拥塞，正常访问被中止。CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【CC防护配置】页面。 4.CC防护配置项说明： 配置项 说明 防护开关 控制CC防护功能是否生效。 防护模式 阈值：域名访问达到防护条件时进行防护校验。 永久：域名每次访问都进行防护校验。 检测条件 设置检测条件，当触发检测条件后，对请求进行防护。该配置在阈值模式下才可进行配置。 防护时长 达到检测条件后持续对应时间内都进行防护校验。该配置在阈值模式下才可进行配置。 跨域请求防护 若您所防护的域名存在跨域访问场景（即被其他域名网站引用访问），建议关闭跨域请求防护，以免被CC防护算法拦截。 5.完成配置点击右上角【保存】按钮。

本文介绍HLS标准加密改写功能的工作原理及配置说明。 功能介绍 HLS标准加密改写功能，是指CDN节点回源获取到M3U8文件内容后，改写其中的 EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 背景信息 视频播放场景中通常都很关注防盗链以及版权保护，HLS协议提供了标准加密方案。 HLS协议中用到很多标签，这些标签存在于M3U8索引文件中，其中 EXTXKEY标签用于显示TS文件是否加密。如携带该标签，且值不为空，则代表TS文件有加密，客户端播放器需要对其进行解密后播放。 常见的 EXTXKEY标签格式： EXTXKEY:METHODAES128,URI" 其含义为：使用AES128算法，秘钥通过 整个过程技术原理如下： 1. 客户端播放器向CDN服务器发起形如： 2. CDN服务器对该请求进行token鉴权，鉴权通过后，若无缓存，则向源站获取原始M3U8文件内容，并对其body部分进行改写，在标签中插入如下内容：