介绍解决部分Linux系统的账户破解防护功能未生效 故障原因 主机系统中SSHD服务没有依赖libwrap.so。 libwrap是一个免费的软件程序库，实现了通用的TCP。 Wrapper功能。任何包含了libwrap.so的daemon程序可以使用/etc/hosts.allow和/etc/hosts.deny文件中的规则对主机进行简单的访问控制。 解决方法 登录云服务器安装企业主机安全Agent，然后执行下面的命令： sh /usr/local/ hostguard/conf/configsshxinetd.sh 存在问题的镜像版本 Gentoo的镜像存在该问题的版本如下： Gentoo Linux 17.0 64bit（40GB） Gentoo Linux 13.0 64bit（40GB） OpenSUSE的镜像存在该问题的版本如下： OpenSUSE 42.2 64bit（40GB） OpenSUSE 13.2 64bit（40GB）

本节主要介绍如何在智能视图服务控制台使用录制模板。 要使用云端录像服务，需要先创建录制模板，并为要进行录像的设备或业务组绑定录制模板。 新建录制模板 在【模板管理录制模板】页面，点击【新建录制模板】，弹出新建录制模板页面，录制模板支持全天录制和手动录制。 全天录制：绑定设备或业务组后，流在线时会自动开启录制，不能主动停止录制。 手动录制：绑定设备或业务组后，流在线时需要手动启用或停用录制。 绑定录制模板 录制模板可以绑定业务组或设备。业务组绑定录制模板，该模板对业务组下的所有设备生效；设备绑定录制模板，该模板仅对该设备生效。如果业务组和设备都绑定了录制模板，则设备绑定的录制模板对该设备生效。 业务组绑定录制模板 点击【业务组管理业务组配置】，在业务组管理切换至模板配置页面，在录制模板右侧点击【编辑】。 在弹出的设置录制模板页面，选择需要的模板点击【绑定】，即可完成录制模板绑定操作。已绑定的模板也可在该页面进行解绑。 设备绑定录制模板 点击左侧菜单栏的【设备管理】，下拉选择业务组并点击设备，在设备详情切换至【配置信息】页面，在录制模板信息右侧点击【配置】。 在弹出的设置录制模板页面，选择需要的模板点击【绑定】，即可完成录制模板绑定，同样也可以进行解绑。

本文为您介绍天翼云云搜索服务中的OpenSearch和Elasticsearch实例异步搜索功能的使用方法。 功能简介 天翼云云搜索服务中的OpenSearch和Elasticsearch都支持异步搜索功能（Asynchronous Search），这一功能极大地提升了在处理长时间运行查询时的用户体验和系统效率。通过异步搜索，用户可以在后台执行耗时较长的查询任务，而无需等待查询结果的即时返回。 这一功能对于大数据集、复杂查询以及需要持续获取查询状态的场景特别有用。 核心原理 在传统的同步搜索模式中，用户发出查询请求后，必须等待查询结果返回才能继续其他操作。如果查询涉及大规模数据处理或复杂的计算，这可能会导致用户界面的阻塞和等待时间过长。异步搜索通过将查询任务分离到后台执行，解决了这一问题。 当用户发起异步搜索请求时，搜索引擎会立即返回一个查询任务 ID，而查询本身在后台继续运行。用户可以通过这个任务 ID 随时查询任务的进展情况、获取部分结果或在任务完成后检索最终的完整结果。这种模式下，用户可以在查询结果生成的过程中继续执行其他操作，显著提高了系统的响应性和用户的工作效率。 应用场景与优势 处理复杂查询 对于涉及大量数据处理或复杂计算的查询，异步搜索允许这些任务在后台执行，避免了用户界面因长时间等待而被冻结的情况。这尤其适用于分析海量数据、执行深度聚合或跨多索引的查询任务。 提高系统性能与效率 异步搜索将长时间运行的任务移至后台执行，减少了同步操作对系统资源的占用，优化了集群的整体性能。同时，用户能够并行处理其他任务，提升了操作效率。

本文说明全站加速服务的回源流量大于访问流量的原因及解决方案。 背景说明 使用全站加速后，用户请求均访问到节点，由节点响应文件给用户。在文件可缓存情况下，节点的访问流量通常远大于回源流量。如果通过客户控制台查看发现回源流量大于访问流量，可参考本文档进行排查。 可能原因 全站加速开启压缩，而源站未开启压缩 源站未开启压缩功能时，节点回源请求获取到的是非压缩文件，而节点上如果开启了压缩，针对用户请求头包括AcceptEncoding: gzip, deflate时，节点会响应压缩后的文件。由于压缩后文件大小约为未压缩文件大小的1030%，如果域名整体请求量较小，此时可能会造成全站加速服务的回源流量大于访问流量。 解决方案：此场景下建议源站开启Gzip压缩。详见：文件压缩。 注意 节点回源时，默认会携带Via请求头，对于请求头带有Via的请求，源站即便开启Gzip压缩，仍有可能无法返回正确的压缩响应，此时也会造成回源流量大于访问流量。该情况下建议调整源站的Gzip压缩配置以使其生效，以nginx为例，可通过设置：gzipproxied any使得Gzip压缩成功。 用户请求Range，但源站不支持Range，全站加速配置完整文件回源 如用户请求Range，而源站不支持Range，全站一般要配置完整文件回源才能缓存文件，此时源站响应的文件大于客户端请求的Range范围，如果用户最终并未请求完整文件，且域名总体请求量较小，此时也会造成回源流量大于访问流量。 解决方案：暂无。建议客户源站改造支持Range请求。

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

本章节主要介绍认证策略。 大数据平台用户需要对用户进行身份认证，防止不合法用户访问集群。安全模式或者普通模式的集群均提供认证能力。 安全模式 安全模式的集群统一使用Kerberos认证协议进行安全认证。Kerberos协议支持客户端与服务端进行相互认证，提高了安全性，可有效消除使用网络发送用户凭据进行模拟认证的安全风险。集群中由KrbServer服务提供Kerberos认证支持。 Kerberos用户对象 Kerberos协议中，每个用户对象即一个principal。一个完整的用户对象包含两个部分信息：用户名和域名。在运维管理或应用开发的场景中，需要在客户端认证用户身份后才能连接到集群服务端。系统操作运维与业务场景中主要使用的用户分为“人机”用户和“机机”用户。二者主要区别在于“机机”用户密码由系统随机生成。 Kerberos认证 Kerberos认证支持两种方式：密码认证及keytab认证。认证有效时间默认为24小时。 密码认证：通过输入用户正确的密码完成身份认证。主要在运维管理场景中使用“人机”用户进行认证，命令为kinit 用户名 。 keytab认证：keytab文件包含了用户principal和用户凭据的加密信息。使用keytab文件认证时，系统自动使用加密的凭据信息进行认证无需输入用户密码。主要在组件应用开发场景中使用“机机”用户进行认证。keytab文件也支持在kinit命令中使用。 普通模式 普通模式的集群不同组件使用原生开源的认证机制，不支持kinit认证命令。FusionInsight Manager（含DBService、KrbServer和LdapServer）使用的认证方式为用户名密码方式。组件使用的认证机制如下表所示。 表 组件认证方式一览表 服务 认证方式 ClickHouse simple认证 Flume 无认证 HBase WebUI：无认证 客户端：simple认证 HDFS WebUI：无认证 客户端：simple认证 Hive simple认证 Hue 用户名密码认证 Kafka 无认证 Loader WebUI：用户名密码认证 客户端：无认证 Mapreduce WebUI：无认证 客户端：无认证 Oozie WebUI：用户名密码认证 客户端：simple认证 Spark2x WebUI：无认证 客户端：simple认证 Storm 无认证 Yarn WebUI：无认证 客户端：simple认证 ZooKeeper simple认证 认证方式解释如下： “simple认证”：在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”或“omm”）自动进行认证，管理员或业务用户不显式感知认证，不需要kinit完成认证过程。 “用户名密码认证”：使用集群中“人机”用户的用户名与密码进行认证。 “无认证”：默认任意的用户都可以访问服务端。

概述 应用运维管理服务（AOM）可以监控和查看ServiceStage服务的运行状态、各个指标的使用情况，并对监控项创建告警规则。 当您使用ServiceStage服务部署组件后，AOM服务能关联通过在ServiceStage部署组件的监控指标，帮助您实时掌握组件的各项性能指标，精确掌握组件运行情况。 设置监控及告警 ServiceStage支持容器和虚机两种组件部署方式。 设置容器部署组件监控及告警 CCE会配合AOM对集群进行全方位的监控，在创建节点时会默认安装AOM的ICAgent（在集群kubesystem命名空间下名为icagent的DaemonSet），ICAgent默认采集集群底层资源以及运行在集群上负载的监控数据并上传到AOM。另外，设置应用组件自定义指标监控后，ICAgent还能采集负载的自定义指标监控数据并上传到AOM。 参考设置资源监控告警阈值，完成阈值告警规则设置后，组件运行过程中产生的各种告警会上传到AOM。 支持的监控指标 指标是对资源性能的数据描述或状态描述。 容器部署组件支持的监控指标 容器部署组件的资源基础监控包含CPU、内存、磁盘等，具体请参考下表。 表 资源监控指标 监控指标 指标含义 取值范围 单位 CPU内核总量(cpuCoreLimit) 该指标用于统计测量对象申请的CPU核总量。 ≥1 核（Core） CPU内核占用(cpuCoreUsed) 该指标用于统计测量对象已经使用的CPU核个数。 ≥0 核（Core） CPU使用率(cpuUsage) 该指标用于统计测量对象的CPU使用率。服务实际使用的与申请的CPU核数量比率。 0～100% 百分比（Percent） 物理内存总量(memCapacity) 该指标用于统计测量对象申请的物理内存总量。 ≥0 兆字节（Megabytes） 物理内存使用率(memUsage) 该指标用于统计测量对象已使用内存占申请物理内存总量的百分比。 0～100% 百分比（Percent） 物理内存使用量(memUsed) 该指标用于统计测量对象实际已经使用的物理内存（Resident Set Size）。 ≥0 兆字节（Megabytes） 磁盘读取速率(diskReadRate) 该指标用于统计每秒从磁盘读出的数据量。 ≥0 千字节/秒（Kilobytes/Second） 磁盘写入速率(diskWriteRate) 该指标用于统计每秒写入磁盘的数据量。 ≥0 千字节/秒（Kilobytes/Second） 下行Pps(recvPackRate) 每秒网卡接收的数据包个数。 ≥0 个/秒（Packets/Second） 文件系统容量(filesystemCapacity) 该指标用于统计测量对象文件系统的容量。 仅支持1.11及其更高版本的kubernetes集群中驱动模式为devicemapper的容器。 ≥0 兆字节（Megabytes） 下行Bps(recvBytesRate) 该指标用于统计测试对象的入方向网络流速。 ≥0 字节/秒（Bytes/Second） 下行包错率(recvErrPackRate) 每秒网卡接收的错误包个数。 ≥0 个/秒（Packets/Second） 上行Pps(sendPackRate) 该指标用于统计测试对象的出方向网络流速。 ≥0 字节/秒（Bytes/Second） 上行包错率(sendErrPackRate) 每秒网卡发送的错误包个数。 ≥0 个/秒（Packets/Second） 上行Bps(sendBytesRate) 该指标用于统计测试对象的出方向网络流速。 ≥0 字节/秒（Bytes/Second） 容器错包个数(rxPackErrors) 该指标用于统计测量对象收到错误包的数量。 ≥0 个（Packets） 线程数(threadsCount) 该指标用于统计主机中当前创建的线程数量。 ≥0 无 文件系统可用(filesystemAvailable) 该指标用于统计测量对象文件系统的可用大小。 仅支持1.11及其更高版本的Kubernetes集群中驱动模式为devicemapper的容器。 ≥0 兆字节（Megabytes） 文件系统使用率(filesystemUsage) 该指标用于统计测量对象文件系统使用率。实际使用量与文件系统容量的百分比。 仅支持1.11及其更高版本的Kubernetes集群中驱动模式为devicemapper的容器。 ≥0 百分比（Percent） 句柄数(handleCount) 该指标用于统计测量对象使用的句柄数。 ≥0 无 组件状态(status) 该指标用于统计应用组状态是否正常。 l 0：表示正常l 1：表示异常 无 虚拟内存总量（virMemCapacity） 该指标用于统计测量对象申请的虚拟内存总量。 ≥0 兆字节（Megabytes）

本文档指导您如何在IIS服务器中部署SSL证书。 前提条件 已在当前服务器中安装配置IIS服务。 说明 由于服务器系统版本或服务器环境配置不同，在安装SSL证书过程中使用的命令或修改的配置文件信息可能会略有不同，证书管理服务提供的安装证书示例，仅供参考，请以您的实际情况为准。 部分服务端直接导入IIS可能会存在问题，所以本章节的操作步骤为：导入到Microsoft管理控制台 > 导入IIS服务端。 文件准备 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 IIS，单击“下载”并解压缩包至本地，文件内包含下述2个文件： PFX证书密码： README.txt PFX格式证书： XXXX.cn.pfx 导入证书至系统 1. 使用“Win + R”快捷键组合打开“运行”控制台，输入“mmc”打开“Microsoft 控制台”。 2. 单击右上角的“文件”选择“添加/删除管理单元”。 3. 在“可用管理单元”中选择“证书”，并单击“添加”。 4. 在弹出的对话框中选择“计算机账户”，单击“下一页”后再选择“本地计算机”，单击“完成”将证书模块添加至控制台根节点中。 5. 在“控制台根节点”中选择“证书 > 个人”，在“对象类型”页面单击右键，选择“所有任务 > 导入”。 6. 选择“文件准备”章节中下载的PFX文件，单击“下一步”后选择“证书存储个人”完成证书导入。 7. 调整证书链，将中级证书剪切到 “中级证书颁发机构”下的“证书”中。

名称 类型 描述 system.status String HBlock服务状态： Upgrading：升级中。 Uninstalling：卸载中。 Working：运行中。 system.licenseStatus String 软件许可证状态： Expired：软件许可证已过期。 Effective：软件许可证已生效。 Invalid：软件许可证无效。 None：还未加载软件许可证。 server.status Object 服务器的状态，详见“ 表1 响应参数server.status说明 ”。 disk.status Object 磁盘的状态（仅单机版支持），详见“ 表2 响应参数disk.status说明（仅单机版支持） ”。 disk.usage Object HBlock数据目录使用情况，详见“ 表3 响应参数disk.usage说明（仅单机版支持） ”。 lun.status Object 卷状态，详见“ 表4 响应参数lun.status说明 ”。 lun.data Object 卷数据信息，详见“ 表5 响应参数lun.data说明 ”。 storagePool.number Integer 存储池个数（仅集群版支持）。 storagePool.basePool Sring 基础存储池名称（仅集群版支持）。 storagePool.basePoolDetail Object 基础存储池详情（仅集群版支持），详见“ 表6 响应参数storagePool.basePoolDetail说明（仅集群版支持） ”。

本节为您介绍云迁移服务CMS服务器迁移中如何查看历史任务及迁移报告。 历史任务检索 CMS可以展示用户所有历史任务信息；当用户迁移任务完成后，会生成相应的历史任务，包括历史任务的任务号、任务类型、系统类型、迁移源IP地址、目标机IP地址、创建日期、任务状态、进度等。 左侧导航栏单击“历史任务”后，可单击"查看"跳转详情页面，查看具体任务信息。 完成报告生成 当迁移任务完成时或者迁移任务取消时，平台能自动生成报告。 CMS能生成单迁移、多迁移任务完成报告。单迁移任务报告包含各个迁移步骤的总耗时、数据量大小、操作系统版本、源机IP信息、目标机IP信息、任务状态、任务具体配置等。多迁移任务完成报告包含迁移台数、平均完成时间以及每台源机迁移任务的具体信息。

本文将简单介绍如何开通函数计算服务以及快速创建幷测试执行函数。 前提条件 已注册天翼云账号，并完成实名认证 账号可正常使用，未欠费停服 操作步骤 开通函数计算 1. 进入天翼云官网函数计算产品页，点击【开通服务】。 2. 进入函数计算服务开通页面，按页面引导开通函数计算，开通成功后点击进入控制台。 说明 若显示余额不足，请充值至保持余额在100元以上。 3. 若未创建内联委托，点击创建 ，进入函数计算控制台。 创建函数 1. 依次点击 函数 创建函数 ，如图所示。 2. 进入创建函数页面，选择或填写相关数据，如图所示。 字段 用法 校验规则 创建函数的方式 标准运行时：使用内置的运行时和默认的接口定义程序，适用于demo演示或者比较简单的业务场景。自定义运行时：选择某个流行的框架如Flask、SpringBoot等部署函数，适用于Web应用等业务场景。容器镜像：选择某个容器镜像部署函数，适用于应用迁移或者AI模型、GPU应用等业务场景。 函数名称 函数名称是函数的唯一标识，同一个租户，同一个region，函数名称必须保证唯一性。 长度在1~40个字符。只能包含字母、数字、下划线和中划线。只能字母开头。 请求处理程序类型 当选择标准运行时时才有处理事件请求：定义了函数的处理程序是响应某个事件event，具体可以参考示例程序的源码。处理Http请求：定义了函数的处理程序是响应Http请求，具体可以参考示例程序的源码。 运行环境 函数的运行环境或运行时，下拉可以根据实际需求，选择Python, Go, Java, NodeJs等多种运行环境。 代码上传方式 有以下选择：1. 选择示例代码：主要做演示用，使用内置的代码进行函数部署，可以通过阅读源码了解如何写一个简单的函数。2. 通过zip包上传代码：可以参考示例代码的规范写好函数业务代码，把业务代码整个打包为.zip后上传。 更多参数详情见操作指南函数创建。

本文主要介绍创建私有资源组 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 2、（可选）首次使用时，请根据提示信息，授权性能测试创建私有资源组。 3、进入创建资源组页面后，如果是首次使用没有云容器引擎服务CCE集群，需要先执行步骤4创建集群然后再创建资源组。如果已有可用的云容器引擎服务CCE集群，直接执行步骤5创建资源组。 4、创建集群。 单击页面上方的“创建集群”，进入购买CCE集群页面。 说明 集群管理规模选择与执行节点个数相关，例如，需要20个执行节点，那么集群调试节点规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 单击“下一步：创建节点”，设置节点参数。 说明 节点规格至少为vCPU为4核，内存8GB。 操作系统需选择欧拉EulerOS。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建，选中后将根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 单击“下一步：安装插件”，默认选择即可。 单击“下一步：配置确认”，请检查配置，检查无误后，勾选“我已知晓上述限制”，单击“提交”等待集群创建，集群创建预计需要610分钟。创建成功后，返回性能测试控制台。 5、创建资源组。 在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 参照下表设置基本信息。 创建私有资源组 参数 参数说明 资源组名称 新建私有资源组的名称，可自定义。 节点集群 在下拉框选择已创建的CCE集群。 调试节点 执行压测的调试机。调试节点在资源组创建成功后不可修改。 执行节点 执行压测的执行机，即在压测过程中能够提供自身性能数据的施压目标机器。 单击“创建”。

本文介绍域名接入边缘安全加速平台后，如何为域名配置合适的防护策略。 当您首次将域名接入边缘安全加速平台之后，面对各种安全防护配置项，您可能不知道如何进行配置。本文将引导您从不同角色的视角、场景快速熟悉边缘安全加速平台的防护模块和防护规则配置，让您从最紧急、最关注的防护内容入手，了解如何使用安全与加速服务保护您的网站。 操作前提 已经在边缘安全加速平台控制台完成接入域名，并且域名已处于已启用的状态。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择域名>域名管理。 本文会根据不同的角色或者业务视角来给您提供网站防护策略的配置建议。您可以根据您的实际需求和您对网站的熟悉程度来了解相关的网站防护配置。 没有安全经验的使用者要如何配置防护策略 您可能出于等保要求或者为了预防Web攻击而购买安全与加速服务，但您之前从未了解过网站安全相关知识或者未使用过安全产品，这种情况可以参考本章内容进行域名的防护配置修改。在根据域名接入指引成功添加域名后（域名状态由配置中 变更为 已启用 ），在“Web防护 > 域名规则”中将域名规则开关置为拦截模式，完成这几部操作后防护引擎就可以帮助您自动识别、拦截绝大部分的Web攻击请求。 同时您也需要多关注概览、安全报表、攻击日志等数据统计分析页面，了解业务流量、数据情况和攻击威胁情况。查看相关数据报表可以让您对域名信息有更详细的了解，同时可以根据这些数据特征，联系天翼云安全专家沟通具体的解决方案，在天翼云安全专家的指导下进一步配置域名防护内容，对域名安全进一步加固。 当您在攻击日志中发现正常的业务请求被误拦截，而您又不会根据误拦截内容进行防护配置变更时，您可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

本节介绍了裸金属如何通过NAT网关、子网ACL配置实现公网互访。 裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节主要介绍通过NAT网关实现公网互访。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。 VPC内的实例出方向访问通过SANT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 前提条件 虚拟私有云的子网类型为裸金属子网。 已创建裸金属实例。 已创建与裸金属实例同VPC的NAT网关。 已创建空闲的弹性IP。 已创建空闲的子网ACL。 裸金属实例通过NAT网关访问公网 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 绑定】，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置SNAT规则】进入网关详情。 4. 在【添加SNAT规则】页面，子网需要选择与裸金属实例相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 5. 在【SNAT】页签可以查看已添加的规则。 6. 登录裸金属，输入账号密码，ping测公网IP地址的联通性。

本文主要介绍算力网关侧的裸金属通过天翼云4.0侧的EIP访问公网。 操作步骤 一、 前提 通过公共算力服务提前完成跨域互联的创建。 二、 云专线产品配置全0路由 1. 云专线产品创建工单 在天翼云4.0侧控制台搜索云专线产品，在云专线产品上创建工单，问题类型选择“云专线开通”。 说明： 专线网关在添加云侧路由配置时支持基于”其他”类型的自定义地址段添加，可以配置0.0.0.0/0，用于把IDC机房访问Internet的流量引入VPC。在VPC页签下，点击VPC后的其他目的网段配置，填写目的网段IPv4：0.0.0.0/0（如不支持，请提交工单申请）。 2. 等待工单实施完毕 三、 创建EIP 在天翼云4.0侧，创建弹性IP。 四、 创建NAT网关 1. 在天翼云4.0侧，创建公网NAT网关 2. 配置SNAT规则 说明： 源网段类型：选择“手动输入自定义网段”。 源网段：输入算力网关侧需访问公网的裸金属IP地址。 弹性IP：选择第3步创建的EIP。 3. 配置DNAT规则 说明： 弹性IP：选择第3步创建的EIP。 类型：选择手动输入自定义地址。 端口设置：选择具体端口。 内网地址：输入算力网关侧裸金属IP地址。 公网端口：输入NAT网关对外提供服务的端口。 内网端口：输入算力网关侧裸金属IP的所在端口。 支持的协议：根据客户需求选取。

本页介绍了三种规格文档数据库服务特性，以及新建并连接实例的操作流程。 三种规格特性及适用场景 文档数据库服务提供了集群版、副本集和单机版三种规格的实例，分别采用不同的部署架构，能够满足不同的业务场景。 集群版 分片集群提供Mongos、Shard、ConfigServer三类节点，每个Shard和ConfigServer基于副本集（每个副本集使用三节点主从模式）组成。 适用于高并发读写的场景，可以自由地选择Mongos和Shard节点的个数和配置，扩展性能及存储空间，构建不同性能的分片集群实例，满足不同的业务需求。 副本集 副本集提供不同角色的节点，一个可供读写的Primary节点，一个、三个或五个提供高可用的Secondary节点，一个隐藏的Hidden节点，0~5个只读的ReadOnly节点。 适用于需要保证高可用，读多写少的中小型业务系统，可按需增加Secondary节点和ReadOnly节点，扩展读性能。 单机版（单节点） 单机版仅部署一个节点在虚拟机上，没有高可用等高级特性，优点是性价比高。 适用于研发测试、学习培训、以及非企业核心数据存储的场景。 新建并连接数据库 1. 新建实例 根据业务需要定制相应计算能力和存储空间的实例。 2. 设置安全组 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云主机处于不同安全组时，或者使用公网连接实例时，需要配置安全组访问规则。 3. 绑定弹性IP（可选） 如果要使用公网地址连接实例，需要先申请并绑定弹性公网IP。 4. 连接实例 提供内网、公网、程序代码连接单机版（单节点）、副本集、分片集群实例的操作。

本文介绍CDN加速服务的回源流量大于访问流量的可能原因及解决方案。 背景说明 使用CDN加速后，用户请求均访问到CDN节点，由CDN节点响应文件给用户。在文件可缓存情况下，CDN节点的访问流量通常远大于回源流量。如果通过CDN加速控制台查看发现回源流量大于访问流量，可参考本文档进行排查。 可能原因 CDN加速开启压缩，而源站未开启压缩 源站未开启压缩功能时，CDN节点回源请求获取到的是非压缩文件，而CDN节点上如果开启了压缩，针对用户请求头包括AcceptEncoding: gzip, deflate时，CDN节点会响应压缩后的文件。由于压缩后文件约为未压缩文件的1030%，如果域名整体请求量较小，此时可能会造成CDN加速服务的回源流量大于访问流量。 解决方案：此场景下建议源站开启Gzip压缩。 注意 CDN节点回源时，默认会携带Via请求头，对于请求头带有Via的请求，源站即便开启Gzip压缩，仍有可能无法返回正确的压缩响应，此时也会造成回源流量大于访问流量。该情况下建议调整Gzip压缩配置以使其生效，以nginx为例，可通过设置：gzipproxied any使得Gzip压缩成功。 未开启分片回源功能，用户请求Range 未开启分片回源时，若用户发起Range请求，CDN默认完整文件回源并缓存文件（Range 请求头部 Start值的偏移量在5MB内），此时源站响应的文件大于客户端请求的Range范围，如果用户最终并未请求完整文件，且域名总体请求量较小，此时也会造成回源流量大于访问流量。 解决方案：建议源站改造支持Range请求。

本文介绍如何关闭加速服务。 如果客户的网站因业务变更需要关闭全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，天翼云会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作。 删除域名 对域名进行删除操作后，天翼云会直接删除加速域名在节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至节点，则会响应403。 注意事项 停用全站加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云全站加速入口，调整为解析至其他CNAME或A记录。该调整完成后，可以通过客户控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用全站加速域名 1. 登录客户控制台。 2. 左侧导航栏单击选择【域名管理】。 3. 单击【域名列表】，选择对应域名，操作列点击【更多】可看到【停用】按钮。 4.单击【停用】按钮，跳出【停用确认】框，点击【确认停用】后进入停用流程。 如您需要删除已停用域名，等待停用域名流程完成后继续按如下删除加速域名的流程进行操作。

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

关系数据库MySQL版支持自动备份和手动备份保障您的数据安全，方便您恢复历史数据。 备份原理及方案 关系数据库MySQL版实例支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 说明 自动备份：关系数据库MySQL版会根据您配置的备份策略帮助您自动完成数据备份。 手动备份：您可以根据业务需要开启手动全量备份。 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务或备份机上，不会占用实例的磁盘空间。 主备实例 采用包含主从节点的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务或备份机上，不会占用实例的磁盘空间。当数据库或表被恶意或误删除，虽然MySQL支持HA高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 使用场景 备份方案 使用场景 自动备份 自动备份通常应用于以下场景： 数据备份和恢复：在生产系统中使用MySQL自动备份功能可以轻松备份所有数据（或者某些数据），并在数据丢失或出现故障时快速恢复数据。 数据复制和迁移：MySQL自动备份功能可以将备份文件复制到其他数据库服务器上，从而实现数据复制和迁移。这对于开发团队测试或生产系统的新部署非常重要。 性能和安全：在系统中使用MySQL自动备份功能可以帮助数据库管理员决定何时进行备份，并且可以按时调度任务。这样可以避免在系统高峰期间执行备份操作，造成性能问题。此外，备份还可以加密， 并保存在安全的地方以保护数据。 手动备份 手动备份通常应用于以下场景： 应急备份：MySQL手动备份可以在需要时立即备份所有数据，并在紧急情况下恢复。这对于快速回滚到过往版本的数据库非常有用，从而修复由数据损坏、恶意活动导致的问题。 数据库迁移：在数据库迁移期间，手动备份允许您复制数据库并在另一个服务器或云服务环境中恢复数据。在迁移过程中，确保数据不会丢失，以及在迁移结束时，确保应用程序的正常运行。 需要进行定时备份的服务器：在一些服务器中，如果由于备份文件大小、太大或者检测到性能问题导致自动备份不可行的情况下，手动备份可以作为一种替代方法。通过管理员手动设置时间表，公司可以安排定期手动备份以保护其数据。

监控概览为您提供了资源总览、告警统计、主机监控、网络监控、存储监控等 监控概览为您提供了资源总览、告警统计、主机监控、网络监控、存储监控等。通过查看监控概览，让您实时了解各云服务的资源使用情况和告警情况。 资源总览 资源总览展示您当前账户下弹性云主机，关系型数据库、弹性公网IP和带宽、云硬盘、对象存储服务等云服务资源总数以及告警数，方便您快速了解云服务资源的运行情况。 告警统计 告警统计提供最近7日告警趋势图、当前不同等级告警条数统计。 单击不同告警等级的规则条数，可以跳转至告警规则页面，显示所有该告警等级的所有告警规则。 主机监控 主机监控展示当前所有弹性云主机的CPU利用率分布图、最近五分钟CPU利用率Top5，方便您查看当前弹性云主机的CPU使用情况。 单击不同CPU利用率的弹性云主机，可跳转到基础监控图表页面。 网络监控 网络监控展示当前弹性公网IP和带宽的出网带宽与入网带宽最近1小时的网络速率，方便您了解网络使用情况。 入网带宽：统计测量对象入云平台的网络速度。 出网带宽：统计测量对象出云平台的网络速度。 存储监控 存储监控展示磁盘最近5分钟读写带宽之和与最近5分钟读写IOPS之和，方便您了解磁盘使用情况。

已购买的弹性云主机不支持更换地域。 如果您需要在另一个地域使用弹性云主机，有以下两种方案： 1）选择目标地域重新购买实例，建议选择与您的业务需求最接近的区域，以减少网络延迟和数据传输时间。 2）采用主机迁移服务实现实例间的快速迁移，具体操作可以参考 天翼云ECS实例间迁移最佳实践 。

本节主要介绍删除迁移任务 对于已结束或者配置失败的任务，您可选择删除迁移任务。被删除后的任务将不会再出现在任务列表中，请谨慎操作。 前提条件 已登录数据复制服务控制台。 已结束或者配置失败的迁移任务。 删除任务 步骤 1 在“实时迁移管理”页面的迁移列表中，选择需要删除的任务，单击操作列“删除”按钮。 步骤 2 单击“确定”，提交删除任务。

本文主要介绍如何将实例移除伸缩组。 您可以将实例移出伸缩组，更新实例或排查实例的问题，然后将实例重新移入伸缩组。移出伸缩组后实例不再处理应用程序流量。当您选择“移出伸缩组” 时，系统仅将其移出伸缩组，不释放、不删除、不改变云服务器状态，云服务器实例可以作为其他用途；当您选择“移出伸缩组并释放” 时，系统会将伸缩组创建的云服务器移出伸缩组并且将其释放，但该操作对手动移入伸缩组的云主机不生效。 将云主机成功移出指定伸缩组必须满足如下条件： 伸缩组没有正在进行的伸缩活动； 伸缩实例状态为“已启用” ； 移出后实例数不能小于伸缩组的最小实例数时。 将云主机移出伸缩组的步骤如下： 1. 登录天翼云控制中心，切换到需要修改伸缩策略的节点，选择【弹性伸缩服务】； 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】； 3. 在【伸缩组详情页】，单击【伸缩实例】标签，进入【伸缩实例标签页】； 4. 在【伸缩实例】页签中的实例所在行的【操作】列下，单击【移出伸缩组】或【移出伸缩组并删除】； 5. 如果您要移出所有实例，可以勾选参数“实例名称” 左侧的方框，单击【移出伸缩组】或【移出伸缩组并删除】。

后端协议和端口 后端协议和端口即是后端云主机自身提供的网络服务的协议以及协议的端口，如使用Windows操作系统上安装的IIS（webservice），该服务默认的协议为HTTP，端口为80。 后端协议和端口说明表 后端协议 后端端口 :: TCP 在同一个负载均衡实例内，后端端口可以重复，取值范围：165535。 常用取值示例： TCP/80 HTTP/443 UDP 在同一个负载均衡实例内，后端端口可以重复，取值范围：165535。 常用取值示例： TCP/80 HTTP/443 HTTP 在同一个负载均衡实例内，后端端口可以重复，取值范围：165535。 常用取值示例： TCP/80 HTTP/443 HTTPS 在同一个负载均衡实例内，后端端口可以重复，取值范围：165535。 常用取值示例： TCP/80 HTTP/443

态势感知的数据来源。 态势感知基于云上威胁数据和云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。

混合云一体机推理基础版从产品购买到正式交付，主要服务流程如下所示： 产品订购 确定需求：客户经理与客户确定项目需求，最终确定项目配置方案和交付时间，并完成下单。 项目设计：确定客户需求后，天翼云技术专家开始设计并输出网络集成规范、系统集成方案、测试用例等。 硬件/软件集成：天翼云技术专家进行硬件集成、网络配置、软件集成等。 测试验收：天翼云测试专家进行测试验收、输出对应报告。 产品交付 产品发货：天翼云将按照与客户约定的时间依次发货。 交付部署：天翼云服务团队将现场上电、通网、现场系统测试、系统交付检查。 客户验收：由客户进行混合云一体机推理基础版全方位验收，验收通过后即进入计费周期，客户可以开始进行大模型推理。

关闭文件流 f.close() 追加上传 操作场景 通过普通上传创建的对象，用户无法在原对象上进行追加写操作，如果对象内容发生了改变，只能重新上传同名对象来进行修改。这在日志、视频监控等数据复写较频繁的场景下使用不方便。所以可以通过追加上传的方式来只上传增加部分的内容，增强扩展性，提高文件的上传效率。 操作步骤 1. 创建py文件，并引入boto3包的session模块。 python from boto3.sessionimport Session 2. 配置用于访问对象存储服务的凭证Access Key、Secret Key和外网访问地址endpoint。 python accesskey "此处输入你的Access Key" 这里输入你的Access Key secretkey "此处输入你的Secret Key" 这里输入你的Secret Key url "此处输入你的endpoint" 这里输入你的endpoint 3. 获取对象存储服务的操作客户端。 python session Session(accesskey, secretkey) s3client session.client('s3', endpointurlurl) 4. 读取文件并记录文件md5值。 python with open('输入要上传文件的路径', 'rb') as file: data file.read() md5 hashlib.md5(data).digest() md5 base64.b64encode(md5) 5. 上传对象。 （1）首次上传 python s3client.putobject(Bucket'输入要传入的桶名', Metadatadict(m1'm1'), Bodydata, Key'输入存入后对象的键值', ContentMD5str(md5, 'utf8'), AppendTrue, 开启追加上传 AppendPosition0) 指定追加上传开始的位置 （2）追加上传 python

本文向您介绍Hypervisor安全的相关知识。 Hypervisor Hypervisor是一种运行在物理机上的软件，可以在单个物理机上创建、运行和管理多个虚拟机。Hypervisor根据需要将底层物理计算资源（如cpu、内存）进行抽象统一管理，并按需将资源分配给各个虚拟机。Hypervisor实现了同一物理机上不同虚拟机之间的资源隔离，避免数据窃取或恶意攻击，同时保证虚拟机的资源使用不受周边虚拟机的影响。用户使用虚拟机时，只能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证了虚拟机的数据隔离和安全。 CPU隔离 CPU虚拟化是Hypervisor中最核心的部分，内存虚拟化和IO虚拟化都依赖于CPU虚拟化的正确实现。 X86架构中为了保护指令的运行，提供了指令的4个不同特权级别，术语称为Ring，优先级从高到低依次为： 1. Ring 0：最高特权级别，被用于运行操作系统内核。 2. Ring 1：用于操作系统服务。 3. Ring 2：用于操作系统服务。 4. Ring 3：用于应用程序。 Hypervisor运行在最高特权级别，可以控制物理处理器上的所有关键资源；而虚拟机操作系统运行在非最高级特权级别，所以其访问物理资源的敏感指令会陷入到Hypervisor中通过软件的方式进行模拟。通过拦截并模拟虚拟机的敏感指令，Hypervisor实现了虚拟机vCPU的隔离，有效防止了虚拟机越权恶意攻击物理机或其他虚拟机。

本文介绍SQL Server的功能约束与限制。 为向您提供更安全、稳定的服务，SQL Server从功能与账号权限上有一些约束与限制，详见下表： 功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云服务器进行访问。 弹性云主机必须处于SQL Server实例所属安全组允许访问的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库版本 支持以下版本： 2022 企业版 2022 标准版 2022 WEB版 2019 企业版 2019 标准版 2019 WEB版 2017 企业版 2017 标准版 2017WEB版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 数据库的超级管理员权限 超级管理员权限一旦开启无法关闭。且一旦实例创建过超级管理员账号后，将不再享受SLA保障。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。部分参数可能要重启才能生效，请谨慎操作。 搭建数据库复制 SQL Server本身提供主备复制架构的双节点集群，无需用户手动搭建。主备节点间数据复制方式默认使用异步复方式，暂不支持修改。其中备节点不对用户开放，应用不可直接访问。 重启实例 无法通过命令行重启，必须通过SQL Server服务的管理控制台操作重启实例。

本文介绍如何配置RBI云端浏览器 适用场景 RBI云端浏览器通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯，主要针对互联网威胁（防钓鱼、防恶意勒索等）、企业内部数据安全管理提供轻量化、一站式的解决方案。 注意事项 注意 配置该能力前需先购买【RBI云端浏览器】服务，并保障零信任服务已接入，详情见 配置说明 如您需要配置使用RBI云端浏览器，请提交工单给天翼云客服，并提供以下信息，由其帮您配置。 配置需求 填写内容 备注 需求场景 提供具体需求场景 互联网安全访问 是否开启该能力 默认是否，若是是则开启互联网安全访问，则会提供一个互联网安全访问地址，通过该地址访问互联网资源（如www.ctyun.cn），则会经过云端浏览器进行处理。 否则不开启。 互联网安全访问 使用人员范围 互联网安全访问若开启，则需提供使用人员范围，默认全部。 互联网安全访问 访问管控：是否限制复制，粘贴，下载 互联网安全访问若开启，则需管控限制，默认全部不限制。 内网安全访问 配置应用资源 提供具体应用名称(即应用配置时的应用名称，仅针对web应用的入口地址有效)。 内网安全访问 使用人员范围 默认全部。 内网安全访问 访问管控：是否限制复制，粘贴，下载 默认全部不限制。

此小节介绍云堡垒机的安全声明。 在操作CBH前请仔细阅读，避免出现网络安全事件。 账户管理 云堡垒机系统的系统管理员默认账号为 admin ，登录密码为申请实例时自定义设置的密码。 在首次登录云堡垒机系统后，请按照系统提示修改密码，否则无法进入系统运行页面。 密码管理 为充分保证安全，建议您设置的各类密码满足以下要求： 在首次登录云堡垒机系统后，请按照系统提示修改密码和配置手机号码，否则无法进入云堡垒机系统。 密码必须满足密码安全策略： 长度范围：8~32个字符，不能低于8个字符，且不能超过32 个字符。 规则要求：可设置英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符，且需同时包含其中三种。 不能设置为用户名或倒序的用户名。 建议定期修改密码，以提高登录账户的安全性。 特性声明 您购买的产品、服务或特性等应受天翼云科技有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 云堡垒机支持HTTPS访问协议，不支持HTTP访问协议。 请在法律法规允许的目的和范围内使用。