本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

天翼云云解析平台提供网站可用性监测和自动切换服务。监测服务依托平台在各大运营商部署的探测节点，通过采集、分析探测数据帮助用户及时了解网站可用性情况。当网站不可用时，平台提供“暂停解析”、“切换IP”等处置策略。启用“切换IP”策略时，平台将根据策略信息自动将域名解析切换至可用IP，确保用户网站安全、稳定运行。 监控原理 监控任务下所有探测节点向用户监控任务中的IP发送http请求，当且仅当所有探测节点连续两次无法接收到应答时，平台判定服务器宕机，从而执行监控任务中的处置策略。 监控规则 目前仅支持对A记录的监测。 新增或变更监控任务生效时间为一小时。 基础版与高级版域名可支持配置10条监控任务，旗舰版域名可支持配置20条监控任务。 故障处置策略 平台提供三种处理策略，分别是不响应、暂停解析、切换记录。 不响应：平台不做任何处理。 暂停解析 故障IP是分线路智能解析记录，若同主机名下仍有默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下有其它可用的默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下无可用默认线路解析记录，平台不做任何处理。 切换记录：用户配置监控任务时对监控记录设置一个备用IP，故障时切换到可用的备用IP。若切换时备用IP不可用，平台不做任何处理。

域名解析修改常见问题 CNAME解析变更提示冲突怎么办？ 对于同一个主机记录，CNAME解析记录值建议只填写一个。不同DNS解析记录类型间存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加WAF指定的CNAME记录。 如何在万网中修改域名DNS? 1. 登录万网< 2. 将您原来的域名CNAME修改为云WAF提供的域名。 3. 修改完成后点击“提交”，完成修改。 如何在DNSPOD修改CNAME？ 1. 在您域名的DNS服务商处，修改域名的DNS配置记录。 2. 找到要使用云WAF服务的主机记录，将记录类型修改为CNAME。 3. 将记录值修改为WAF为您提供的对应的服务域名。 4. 点击“保存”，并耐心等待生效，CNAME修改生效更新时间预计1020分钟。

本文为您介绍密钥管理服务的定义及产品架构。 密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。 产品架构 业务组件 业务组件 说明 参考文档 密钥管理 密钥管理组件提供密钥安全托管存储、生命周期管理以及密码运算能力。您可以在自建应用程序中，通过KMS提供的云原生接口实现数据加解密、签名验签等运算，同时KMS已对接天翼云云硬盘、对象存储、弹性文件、关系数据库MySQL版，为云服务提供服务端加密能力。 密钥管理概述 证书管理 证书管理组件提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书管理概述

本章节介绍OPA策略 概述 OPA（Open Policy Agent）是一个通用的策略引擎，通过声明式的Rego语言实现丰富的授权策略。应用服务网格提供一键集成OPA引擎功能，整体架构如下： 其中OPA控制面包括： 1，OPA webhook服务，用于实现OPA sidecar的注入； 2，OpaPolicy controller监听OPA策略CRD，用于实现OPA策略分发； 业务pod内除了业务容器和istioproxy之外还会注入OPA sidecar，外部请求pod时流量被istioproxy拦截，根据定义的授权策略请求OPA sidecar，实现对请求的授权。 注意 注意：OPA sidecar当前使用8181端口管理OPA策略，使用9191端口提供外部鉴权服务，业务pod注意避开这两个端口。 开启OPA功能 使用OPA功能时首先要在打开开关，进入服务网格控制台，选择网格管理 > 自定义配置，勾选启用OPA 即可。 关闭OPA功能 进入服务网格控制台，选择网格管理> 自定义配置，取消勾选 启用OPA即可。 进入服务网格控制台，选择网格管理> OPA开关，关闭即可。 OPA策略管理 CSM服务网格采用自定义CRD（OpaPolicy）方式管理OPA策略，主要包括OPA策略生效的工作负载选择以及OPA策略（Rego），下面的配置对default命名空间下标签包含version: v1的工作负载生效，策略中定义了guest和admin两个角色，分别给两个角色定义了访问权限，同时还定义了两个用户bob和alice，分别赋予了特定角色；策略执行时会从请求中解析出用户，结合用户的权限和请求信息对访问进行鉴权。 apiVersion: istio.ctyun.cn/v1beta1 kind: OpaPolicy metadata: name: objectpolicy namespace: default spec: policy: package istio.authz import input.attributes.request.http as httprequest import input.parsedpath allow { rolesforuser[r] requiredroles[r] } rolesforuser[r] { r : userroles[username][] } requiredroles[r] { perm : roleperms[r][] perm.method httprequest.method perm.path httprequest.path } username parsed { [, encoded] : split(httprequest.headers.authorization, " ") [parsed, ] : split(base64url.decode(encoded), ":") } userroles { "alice": ["guest"], "bob": ["admin"] } roleperms { "guest": [ {"method": "GET", "path": "/productpage"}, ], "admin": [ {"method": "GET", "path": "/productpage"}, {"method": "GET", "path": "/api/v1/products"}, ], } workloadSelector: labels: version: v1

云间高速(标准版)EC,是基于中国电信骨干网络打造的混合组网服务,为客户提供多元接入、高速传输、安全可靠的网络互联能力,助力企业实现云上云下、多地域、多网络的灵活弹性组网,构建具备企业级规模与通信品质的全球化云网络。

本节介绍集群定时备份用户指南。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ccsebackup插件，具体操作请参考 插件。 操作步骤 下发备份任务 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要备份的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 集群定时备份 > 创建备份 ，进入集群定时备份配置页面。 4. 填写配置项后，点击“确定”下发备份任务。 备份配置项说明： 配置项名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一。 命名空间 非必填，选择备份资源的命名空间，可多选。 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入。 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath。 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理。 时间点 必填，定时备份时执行的时间点，为整点。 重复周期 必填，定时备份任务重复在一周内哪几天触发执行。 说明 1. 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理。 2. 备份任务下发后，在备份列表中可查看定时备份任务的各项配置。 备份列表的操作列还包含以下三个操作： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。

本页介绍天翼云TeleDB数据库实例运行快照。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，进入实例监控页面。 2. 在实例监控页面，在当前实例下拉框选择目标实例，选择实例运行快照 页签。 3. 快照设置 1. 单击快照设置 ，弹出实例运行快照策略设置 对话框。 2. 在实例运行快照策略设置 对话框中，打开运行快照开启状态，输入快照开启时间和快照间隔时间，单击确定 完成设置。 4. 手动快照 单击手动快照可立即执行快照。 5. 查询快照列表 可通过设置起始时间和结束时间，单击查询 筛选已产生的快照列表。 6. 查看快照详情 单击对应快照记录的详情，可查看该快照的详细信息。 具体内容包括： 数据库状态：节点名称、IP、端口、角色、日志同步状态、运行状态。 数据库核心配置：synchronouscommit、maxpoolsize、autovaccum、maxconnection、workmem、walkeepsegments、vacuumdelta、sharedbuffers的参数值。 数据库连接分析：包括CN和DN的连接情况，如avgconn、avgconnactive、avgconnidle、avgconnlock等。 DataNode节点请求量统计：统计DN节点的增删改查请求量。 数据库检查点：节点的检查点情况，如checkpointstimed、checkpointsreq等。 存储情况分节点统计：节点的存储情况，如totalsize、totaltups。 慢查询TOP 50：慢查询的TOP 50情况。 错误日志情况：包括错误信息、级别。 buffer命中率分析：包括平均、最大和最小情况。 锁分析：最多展示等待时间最长50条。 节点CPU/内存利用率概况：节点CPU/内存利用率情况。 死锁详情：最多展示最近的50条。 回滚详情：最多展示最近的50条。 二阶段残留事务详情：二阶段残留事务详细信息。 7. 快照对比 1. 单击对应快照记录的快照对比，弹出快照对比对话框。 2. 在快照对比对话框，选择要对比的快照，单击确定可查看快照对比信息。

本页介绍天翼云TeleDB数据库如何新增、修改和删除告警。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击告警管理 > 告警规则管理 ，进入告警规则页面。 2. 在当前实例下拉框选择目标实例，进入目标实例告警管理页面。 3. 搜索事件告警或指标告警。 单击事件告警 或指标告警 ，您可在查询条件下拉框，选择开启 或关闭 ，输入告警名称，单击查询 ，搜索出事件告警或指标告警。 4. 新增、修改或删除事件告警。 1. 单击新增事件告警 ，出现新增事件告警对话框。 2. 在告警事件下拉框，选择告警事件，告警开启状态，单击确定完成新增告警。 3. 单击编辑 ，可在编辑事件告警对话框中，修改告警开启状态。 4. 单击删除 ，在提示框中，单击确定 可删除事件告警。 5. 新增、修改或删除指标告警 1. 单击新增指标告警，出现新增指标告警对话框。 2. 进入指标告警对话框，根据下表输入参数信息，单击确定 完成新增指标告警。 参数 说明 告警名称 自定义，可根据业务需求填写。 告警指标 您可根据业务需求选择节点告警或机器告警。 当选择节点告警 ，包含如下告警指标。 数据库磁盘占用量 Xlog文件数量 sql执行最长时间 sql执行平均时间 每分钟请求数 每分钟查询请求数 每分钟插入请求数 每分钟更新请求数 每分钟删除请求数 每分钟其他请求数 缓存命中率 当前连接数 剩余xid 当选择机器告警 ，包含如下告警指标。 CPU使用率 CPU负载 内存使用率 磁盘使用率 网络入流量 网络出流量 tcp连接数 指标维度 指标维度包含如下： 全部 GTM节点 CN 数据主节点 数据备节点 告警条件 可选择一个区间范围，大于0或小于0。 检测频率 1分钟 5分钟 10分钟 20分钟 告警开启状态 开启 关闭 3. 单击编辑，在编辑指标告警对话框，可修改参数信息。 4. 单击删除 ，在出现的提示框，单击确定可删除指标告警。

本页介绍天翼云TeleDB数据库SQL语句执行卡住类问题。 SQL语句执行卡住问题部分排查思路 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果。通常有以下几种情况： 1）SQL语句执行可能涉及到不同粒度级别的锁申请和对象锁定，也就是说不同的SQL语句执行时，如果访问相同对象可能会冲突，需要先排查锁冲突情况，SQL被哪些会话阻塞了，，表现为有阻塞会话（pid大于0）； 2）SQL语句可能被2pc两阶段事务阻塞，表现为阻塞会话pid0； 3）SQL语句可能被同步事务阻塞，在配置了同步备机，但同步备机有异常或延迟的情况，表现为会话等待事件类型为SyncRep； 4）SQL语句没有被阻塞，可能因统计信息不准确而生成了差的执行计划，执行时间太长。 TeleDB分布式架构，在CN节点上显示为运行中的SQL，可能会在某个DN节点上执行被阻塞，所以需要检查每个DN节点该SQL的执行情况。 SQL语句被其它SQL语句阻塞问题 问题描述 平时正常执行的SQL，执行了很长时间仍未返回结果，通过pgblockingpids(pid)得到有阻塞的会话pid，且pid大于0。 每个CN、DN主节点上执行以下SQL，检查是否有会话阻塞： select pid,pgblockingpids(pid),EXTRACT(EPOCH FROM (now()querystart)), waiteventtype,waitevent,query from pgstatactivity where waiteventtype 'Lock' and pid!pgbackendpid(); 返回如下示例内容，pgblockingpids 返回非0，则表示该进程阻塞了当前SQL； pid pgblockingpids datepart waiteventtype waitevent query +++++ 1302 {11582} 102.134252 Lock transactionid INSERT INTO test (id, c1) VALUES (1, 1) (1 row)

基线检查风险项修复及验证 当基线检查功能检测到并提示您服务器上存在的风险项时，请参考如下风险项修复建议为您的服务器进行安全加固。 约束限制 未开启防护不支持基线相关操作。 弱口令修复 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 单服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、在HSS控制台选择“资产管理 > 主机管理 > 云服务器”，进入服务器页面。 2、搜索目标服务器，单击目标服务器名称进入服务器详情页面。 定位目标服务器 3、选择“基线检查 > 配置检查”页签，单击风险项前的展开按钮，查看所有检查项。 4、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 单服务器查看修复建议 全量服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表511所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。云安全实践、等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 查看修复建议

基线检查风险项修复及验证 当基线检查功能检测到并提示您服务器上存在的风险项时，请参考如下风险项修复建议为您的服务器进行安全加固。 约束限制 未开启防护不支持基线相关操作。 弱口令修复 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 单服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、在HSS控制台选择“资产管理 > 主机管理 > 云服务器”，进入服务器页面。 2、搜索目标服务器，单击目标服务器名称进入服务器详情页面。 定位目标服务器 3、选择“基线检查 > 配置检查”页签，单击风险项前的展开按钮，查看所有检查项。 4、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 单服务器查看修复建议 全量服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表511所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。云安全实践、等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 查看修复建议

使用场景 针对使用多种云产品的用户，通过资源分组功能将同一业务相关的弹性云主机、物理机、云硬盘、弹性IP、带宽、数据库等资源添加到同一资源分组中。从分组角度查管理资源，管理告警规则，可以极大的降低运维复杂度，提高运维效率。 限制与约束 一个用户最多可创建10个资源分组。 一个资源分组可添加11000个云服务资源。 一个资源分组对不同类型资源有可选数量限制，具体请参见控制台提示。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击页面右上角的“创建资源分组”按钮。 6. 按照界面提示，填写分组名称并选择企业项目。 选择了企业项目后，只有拥有该企业项目权限的用户才可以查看并管理资源分组，权限划分更合理更细致。 7. 选择需要添加的云服务资源。 8. 单击“立即创建”，完成资源分组的创建。

本节为您介绍云迁移服务CMS中数据迁移工具查看迁移任务详情。 操作场景 已经创建迁移任务，并且迁移任务已经开始执行。 操作步骤 1. 进入“任务管理”界面，点击“详情”按钮，可以跳转到任务详追踪页面 。 2. 成功进入“任务追踪”界面，可以看到迁移进度、迁移速率等信息。

服务网格支持JWT认证策略，一般在入口网关处配置认证策略，在请求后端时可以把认证后的信息带到过去，此插件支持从JWT认证信息中提取字段放到头部中转发给后端服务。 注意 1. 一般应用在Ingress网关场景 2. 需要您在入口网关处配置JWT认证策略 配置说明 字段 类型 是否必填 默认值 说明 issuer string 是 JWT的签发人，对应JWT请求认证策略中的issuer配置 fieldMapping map[string]string 是 将JWT Payload中的字段映射到头部中转发给上游，需要确保key在Payload中存在

本节介绍网页防篡改（原生版）计费模式。 网页防篡改（原生版）产品提供包年包月计费方式。 标准资费 网页防篡改（原生版）产品的标准资费如下： 计费项 计费单位 标准资费 网页防篡改（原生版） 元/个/月 980 优惠活动 针对一次性包年付费服务，网页防篡改（原生版）的优惠政策为：1年85折、2年7折、3年5折。 针对购买服务器安全卫士、终端杀毒、网页防篡改的存量用户，若订购网页防篡改（原生版）产品，可享受7折优惠。 说明 以上优惠活动不能同享，取低者计算。

安装插件 说明 云原生监控插件当前根据数据存储配置自适应选择部署模式（3.7.1及以上版本插件支持），具体如下： 原agent模式：关闭本地数据存储，且监控数据上报至AOM服务和监控数据上报至第三方监控平台至少开启其中之一。 原server模式：开启本地数据存储，同时支持开启监控数据上报至AOM服务或监控数据上报至第三方监控平台。 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到 云原生监控插件 ，单击“安装”。。 步骤 2 在安装插件页面，根据需求选择“数据存储配置”，至少需要开启一项。 监控数据上报至AOM服务 ：将普罗数据上报至 AOM 服务。开启后，可选择对应的AOM实例。采集的基础指标免费，自定义指标将由AOM服务进行收费。对接AOM需要用户具备一定权限，目前仅在admin用户组下的用户支持此操作。 监控数据上报至第三方监控平台 ：将普罗数据上报至第三方监控系统，需填写第三方监控系统的地址和Token，并选择是否跳过证书认证。 本地数据存储 ：将普罗数据存储在集群中的PVC存储卷里，选择用于存储监控数据的磁盘类型和大小。 存储卷不随插件卸载而删除 。开启本地数据存储时，将部署全量组件。 说明 若monitoring命名空间下已存在可使用的PVC（名称为pvcprometheusserver0），将使用该存储作为存储源。 步骤 3 根据需求选择“规格配置”。 插件规格 ： 选择“系统预置规格”时，系统会根据不同的预置规格配置插件的实例数及资源配额，具体配置值请以控制台显示为准。 选择“自定义规格”时，您可根据需求调整插件实例数和资源配额。实例数为1时插件不具备高可用能力，当插件实例所在节点异常时可能导致插件功能无法正常使用，请谨慎选择。 普罗高可用 ：高可用会在集群中将Prometheusserver、Prometheusoperator、thanosquery、custommetricsapiserver、alertmanager、kubestatemetrics组件按多实例方式部署。 采集分片数 （选择非“本地数据存储”时支持设置）：当Prometheus的数据量很大时，您可以通过设置该参数，将数据分片到指定数量的Prometheus实例上存储和查询。增加分片数量可以使每个分片承担的数据量更少，从而增加指标的采集吞吐上限，但也会消耗更多的资源。默认采集分片数根据集群规模自动生成，建议每50个节点配置一个采集分片，如果您需要增加分片数量，提高采集性能，需要考虑资源占用的影响，根据具体的监控场景进行权衡和调优。为确保系统稳定性，建议将控制节点内存使用率控制在50%以下。 安装grafana ：通过 grafana 可视化浏览普罗监控数据。grafana 会默认创建大小为 5 GiB 的存储卷，卸载插件时 grafana 的 存储卷不随插件被删除 。首次登录默认用户名与密码均为 admin，登录后会立即让您修改密码。 步骤 4 设置插件支持的“参数配置”。 自定义指标采集 ：以服务发现的形式自动采集应用的指标。开启后需要在目标应用添加相关配置。 采集周期 ：设置采集时间间隔周期。 数据保留期 （选择“本地数据存储”时支持设置）：监控数据保留的时长。 nodeexporter监听端口 ：该端口使用主机网络，用于监听并暴露所在节点的指标供普罗采集；默认为9100，若与您已有应用的端口冲突，可按需修改。 调度策略 ：可单独配置插件各个组件的节点亲和性和污点容忍能力。可以配置多个调度策略，不配置亲和节点键和容忍节点污点键则默认不开启对应的调度策略。 作用范围：可选择调度策略生效的插件实例，默认对全部实例生效。当指定组件实例名称时，将覆盖全部实例所配置的调度策略。 亲和节点标签键：填写节点标签键，为插件实例设置节点亲和性。 亲和节点标签值：填写节点标签值，为插件实例设置节点亲和性。 容忍节点污点键：目前仅支持污点键级别的污点容忍策略，组件可以调度到拥有该污点键的节点。 步骤 5 完成以上配置后，单击“安装”。 插件安装完成后，根据您的使用需求，可能还需进行以下操作： 如需使用自定义指标创建弹性伸缩策略，请确认云原生监控插件的数据存储配置为开启本地数据存储的模式，然后参考以下步骤： 采集应用上报的自定义指标至Prometheus。 将Prometheus采集到的自定义指标聚合到API Server，可供HPA策略使用。 如果您需要使用该插件为工作负载弹性伸缩提供系统资源指标（如CPU、内存使用量），请确认云原生监控插件的数据存储配置为开启本地数据存储的模式，然后开启Metric API。配置完成后，可使用Prometheus采集系统资源指标。（该操作可能与Kubernetes Metric Server插件产生冲突，不推荐）

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建注册配置中心/云原生网关实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通注册配置中心/云原生网关实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问注册配置中心/云原生网关实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：注册配置中心/云原生网关的实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问注册配置中心/云原生网关实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

参数 参数类型 说明 示例 下级对象 service String 服务 ecs dimension String 维度 ecs dimensions Array of Objects 监控项标签 dimension timestamp Integer 监控数据Unix时间戳 1667815639 itemName String 监控项名称 cpuutil itemDesc String 监控项中文介绍 CPU使用率 itemUnit String 监控项单位 % rawValue Double 监控项原始值 85 compareData Array of Objects 比较数据 compareDataObj resource Array of Objects 资源 obj

本节介绍漏洞扫描服务是否可以扫描域名下的项目。 VSS采用网页爬虫的方式全面深入的爬取网站url，然后针对爬取出来的页面模拟黑客进行试探攻击，帮助您发现网站潜在的安全隐患。如果域名下的项目没有被VSS爬取出来，则该项目不会被VSS扫描到。您可以通过网站扫描详情，查看域名下的项目是否被VSS扫描到。

firewallcmd listall 4. 执行以下命令，在防火墙中添加端口1234，并重启防火墙服务。 firewallcmd addport1234/tcp permanent zonepublic firewallcmd reload

本文帮助您了解如何创建云企业路由器实例。 操作场景 在云间高速（标准版）实例中，用户根据实际业务需求，在目标资源池区域创建云企业路由器实例。云企业路由器作为网络的核心组件，负责转发本地资源池区域内的所有网络实例的流量。 操作步骤 1. 登录云间高速（标准版）管理控制台，并在侧菜单列表中选择“云间高速（标准版）”。 2. 在控制台首页，单击目标云间高速（标准版）实例操作列的“管理 ”或单击目标云间高速（标准版）实例名称。 3. 进入目标云间高速实例详情页面，单击“云企业路由器管理 ”，然后单击“创建云企业路由器”。 4. 在创建云企业路由弹窗中，根据页面提示，填写参数。 参数 说明 取值样例 大区域 选择大区域类型，目前仅支持“境内”和“亚太” 境内 资源池 选择目标资源池，支持模糊检索 华东1 名称 云企业路由名称 CERhuadong1 描述 云企业路由器描述 6. 核对信息后，仔细阅读服务协议并勾选同意。 7. 单击“确定”，完成当前资源池区域云企业路由器创建。 说明 在云间高速网络实例中，只有在第一次创建云企业路由器的时候需要勾选服务协议。

本节主要介绍操作步骤 前提条件 待压测应用需提前准备好，本例没有实际的应用压测，主要讲解压测方法。 操作流程 使用性能测试，您需要按照如下流程操作： （可选）了解性能测试基本概念：在使用性能测试服务前，建议您先了解一些基本概念。 前提条件：使用性能测试服务进行压测，您需要预先准备好待压测的应用。 资源和套餐准备：购买合适的性能测试套餐，创建私有资源组。若是使用共享资源组，无需额外创建私有资源组。 任务创建、调试及执行：根据业务实际情况，创建需要压测的任务，可以多任务并行压测。 测试报告分析：查看实时报告，根据报告提前识别一网通办系统的性能瓶颈。 了解性能测试基本概念 并发用户数： 在性能测试工具中，并发用户数一般被称为虚拟用户数。 RPS（QPS）： 平均每秒发出请求的次数（R Request / Taken Time(s)）。 响应时间： 用户从客户端发起一个请求开始，到客户端接收到从服务器端返回的响应结束，整个过程所耗费的时间。在性能检测中一般以测试环境中压力发起端至服务器返回处理结果的时间为计量，单位一般为秒或毫秒，该时间不同于模拟真实环境的用户体验时间。

本节介绍如何通过云等保专区进入云安全中心控制台。 云安全中心是专为云环境设计的综合性SaaS化安全管理平台，它具备实时监测、防御和分析安全威胁的能力，通过提供一体化的安全运营解决方案，助力用户实现云安全的全面管理和控制，降低用户的安全风险。 在云等保专区控制台购买云安全中心资源后，即可进入云安全中心控制台，接入安全产品日志，云安全中心能通过接入的日志内容进行威胁建模，完成各类安全告警的生成，辅助您进行安全处置，实现安全运营。 前提条件 已购买云安全中心资源，且资源状态为“运行中”。 进入云安全中心控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“云安全中心”，跳转到云安全中心控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 使用云安全中心 请参见云安全中心。

此章节为您介绍数据库审计购买常见的问题。 每个资源池最多支持购买几个数据库审计实例？ 根据你购买的数据库审计版本而决定。 标准版：3个 高级版：6个 企业版：12个 旗舰版：30个 如何为数据库审计实例续费？ 在数据库审计实例到期前，用户可以通过续费操作继续使用数据库审计。 续费步骤 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待续费的数据库审计实例的“操作”列，选择“更多 > 续订”。 4.在续费页选择续订时长。 5.确认订单无误并阅读《天翼云数据库审计产品服务协议》后，勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 6.在后续操作中完成支付即可正常续费数据库审计。 如何退订数据库审计实例？ 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待退订的数据库审计实例的“操作”列，选择“更多 > 退订”。 4.在弹出的对话框中单击“确定”。 5.在“退订申请”页面中选择退订原因和确认后，单击“退订”，即完成数据库审计实例的退订。

前置条件 1.账号为主账号或者角色为IAM管理员的子账号 2.开通专属集群 操作步骤 队列旨在帮助用户精细化管理资源，队列是一个资源池中部分资源的集合，用于工作负载，比如训练任务、在线服务的运行，一个资源池中可创建多个队列。用户购买资源池后可将资源池划分成若干个队列，并使用队列中的资源处理不同业务的工作负载。 打开队列管理，顶部导航栏下拉选择集群的位置，选择到自己所有的专属集群。 【创建队列】操作 点击【创建队列】按钮，进入创建队列页面，填写相应信息。 说明 负载类型：选择的负载类型，代表对应的任务可以提交到该队列，占用该队列资源。比如某队列，负载类型选择了大模型微调、在线服务，则代表这两类任务可以提交到该队列，其他任务比如IDE、大模型评估等不可以提交到该队列。 实例规格和实例数：共同决定了该队列的资源额度上限。 管理员和成员：管理员的权限高于成员，成员只能使用该队列的资源，管理员除了能使用资源以外，还能管理该队列，具体包含管理用户，编辑，更配、启动/停止、删除操作。 【查询】操作 创建好的队列会出现在队列列表里，可通过负载类型、状态筛选，也可以通过队列ID、名称搜索。

本页介绍了如何恢复集群版实例备份。 备份点恢复 恢复到已有实例 文档数据库服务产品支持对集群规格实例的备份数据集进行数据恢复到已有实例操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”的集群规格实例的实例名称，进入到该实例详情页。 4. 点击选择“备份恢复”页，或者点击左侧的“备份管理”菜单。 5. 进入到备份数据集列表，选择对应的备份数据集，在“操作”列，点击“恢复”按钮。 6. 在弹出的“备份点恢复”弹窗中，选择“已有实例”按钮，选择目标实例，点击“确定”按钮（部分资源池为“提交”按钮），等待数据恢复完成。 恢复到新实例 文档数据库服务产品支持对集群规格实例的备份数据集进行数据恢复到新实例操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”的集群规格实例的实例名称，进入到该实例详情页。 4. 点击选择“备份恢复”页，或者点击左侧的“备份管理”菜单。 5. 进入到备份数据集列表，选择对应的备份数据集，在“操作”列，点击“恢复”按钮。 6. 在弹出的“备份点恢复”弹窗中，选择“新实例”按钮，点击“确定”按钮，进入“文档数据库恢复”页面。 7. 填写好需要恢复的新实例的基础配置，实例规格， 网络配置等信息，即可完成恢复操作。 时间点恢复

名词 说明 内网域名 由一串点分隔的名字组成的用于云VPC网络访问目标主机或负载均衡的名称。 记录集 记录集是域名下一组资源记录的集合，这些资源记录属于同一域名，用于该域名支持的解析类型和解析值。 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 CNAME记录 指定域名的别名，用于将域名解析成另一个域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 TXT记录 文本记录，用于对域名进行标识和说明，主要用于： 记录DKIM公钥，用 于反电子邮件欺诈。 记录域名所有者身份信息，用于域名找回。 SRV记录 服务记录类型，记录值含服务器的地址、服务端口、优先级和权重。 PTR记录 反向解析记录，对指定IP地址的反向解析记录，用于从私网IP地址反向查询对应的域名。

说明：本章节会介绍如何创建数据库只读实例 操作场景 只读实例用于增强主实例的读能力，减轻主实例负载。 关系型数据库单实例或主备实例创建成功后，您可根据业务需要，创建只读实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击操作列的“创建只读”，进入“服务选型”页面。 步骤 5 您也可在实例的“基本信息”页面，单击实例拓扑图中，主实例下方的添加按钮，创建只读实例。 步骤 6 在“服务选型”页面，填选实例相关信息后，单击“立即创建”。 表1基本信息 参数 描述 当前区域 只读实例默认与主实例在同一区域。 实例名称 实例名称的长度在4~64个字符之间，必须以字母开头，可包含大写字母、小写字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 默认与主实例的数据库引擎一致，不可更改。 数据库版本 默认与主实例的数据库版本一致，不可更改。 可用区 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主实例和只读实例，只读实例的选择和主实例可用区对应情况： 相同，主实例和只读实例会部署在同一个可用区。 不同，主实例和只读实例会部署在不同的可用区，提高可靠性。 表2规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 关于性能规格详情，请参见数据库实例规格。 创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 只读实例的存储空间大小默认与主实例一致。 表3网络 参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同，创建只读实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 和主实例相同。 步骤 7 在“规格确认”页面，进行信息确认。 如果需要重新选择，单击“上一步”，回到服务选型页面修改基本信息。 信息确认无误，单击“提交”，下发新增只读实例请求。 步骤 8 只读实例创建成功后，您可以对其进行查看和管理。 管理只读实例操作，请参见管理只读实例。 步骤 9 您可以通过“任务中心”查看详细进度和结果。

简述天翼云边缘安全加速平台安全与加速服务的HTTPS相关功能及配置方法。 什么是HTTPS？ HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTP数据传输。 HTTPS也叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 HTTPS配置概述 HTTPS配置模块主要介绍如何配置开启HTTP2.0、OCSP Stapling、HSTS，如何选择TLS协议版本，以及HTTPS Keyless加速方案和边缘安全加速平台支持哪些国密算法。 相关功能 功能 说明 国密HTTPS 简述边缘安全加速支持的国密算法及配置方法。 HTTP2.0配置 简述HTTP2.0的定义和配置方法。 配置OCSP Stapling 简述OCSP Stapling功能的概念、使用前提和配置方法。 配置HSTS 简述HSTS功能和配置方法。 配置TLS协议版本 简述安全与加速服务支持的TLS协议版本和配置方法。 批量HTTPS证书配置 简述批量关联域名启用HTTPS加速服务的配置方法。 强制跳转 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 HTTPS无私钥驻留加速方案 简述边缘加速节点无需部署私钥的情况下如何加速HTTPS业务。 支持的SSL/TLS加密套件 天翼云边缘安全加速支持的SSL/TLS加密套件及对应套件支持的最低版本的SSL/TLS协议。

本文主要介绍弹性IP绑定/解绑类问题。 如何通过外部网络访问绑定弹性IP的弹性云主机？ 为保证弹性云主机的安全性，每个弹性云主机创建成功后都会加入到一个安全组中，安全组默认Internet对内访问是禁止的，所以需要在安全组中添加对应的入方向规则，才能从外部访问该弹性云主机。 在安全组规则设置界面用户可根据实际情况选择TCP、UDP、ICMP或All类型。 当弹性云主机需要提供由公网可以访问到的服务且知道对端IP地址或无需提供由公网可以访问到的服务时，建议根据业务需要，将源地址设置为允许已知IP地址所在的网段访问该安全组。 当弹性云主机需要提供由公网可以访问到的服务且不知道对端的IP地址时，建议使用默认的源地址0.0.0.0/0，再通过配置端口提高网络安全性。 建议将不同公网访问策略的弹性云主机划分到不同的安全组。 说明：源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的弹性云主机。 如何通过扩展网卡绑定的弹性IP访问公网？ 弹性IP绑定扩展网卡后，进入弹性云主机，执行route命令查询路由： route命令如果不清楚可以使用 route help 。 图查看路由信息 执行ifconfig命令查看网卡信息。 图查看网卡信息 配置默认通过扩展网卡访问公网。 a. 执行如下命令删除主网卡默认route。 route del net 0.0.0.0 gw 192.168.0.1 dev eth0 说明：此操作会导致虚拟机流量中断，请谨慎操作，推荐您参考步骤4配置。 b. 执行如下命令配置扩展网卡默认route。 route add default gw 192.168.17.1 按照访问的目标地址配置扩展网卡访问。 配置通过扩展网卡访问某一网段（xx.xx.0.0/16，该网段请按实际情况设置）： route add net xx.xx.0.0 netmask 255.255.0.0 gw 192.168.17.1

本章主要介绍翼MapReduce的恢复OMS数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对FusionInsight Manager系统进行重大数据调整等操作后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，需要对Manager进行恢复数据操作。 管理员可以通过FusionInsight Manager创建恢复Manager任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Manager数据。 对系统的影响 恢复过程中需要重启Controller，重启时FusionInsight Manager无法登录和操作。 恢复过程中需要重启所有集群，集群重启时无法访问。 Manager数据恢复后，会丢失从备份时刻到恢复时刻之间的数据，例如系统设置、用户信息、告警信息或审计信息。可能导致无法查询到数据，或者某个用户无法访问集群。 Manager数据恢复后，系统将强制各集群的LdapServer从OLadp同步一次数据。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查OMS资源状态是否正常，检查各集群的LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 停止依赖集群运行的上层业务应用。